ES2643290T3 - Sistemas y procedimientos de realización de la configuración y autentificación de enlaces - Google Patents

Sistemas y procedimientos de realización de la configuración y autentificación de enlaces Download PDF

Info

Publication number
ES2643290T3
ES2643290T3 ES14183535.5T ES14183535T ES2643290T3 ES 2643290 T3 ES2643290 T3 ES 2643290T3 ES 14183535 T ES14183535 T ES 14183535T ES 2643290 T3 ES2643290 T3 ES 2643290T3
Authority
ES
Spain
Prior art keywords
anonce
access point
authentication
message
sta
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14183535.5T
Other languages
English (en)
Inventor
George Cherian
Philip Michael Hawkes
Santosh Paul Abraham
Hemanth Sampath
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Application granted granted Critical
Publication of ES2643290T3 publication Critical patent/ES2643290T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Sistemas y procedimientos de realizacion de la configuracion y autentificacion de enlaces REFERENCIA CRUZADA A SOLICITUDES RELACIONADAS
[0001] La presente solicitud reivindica prioridad de la Solicitud de Patente Provisional de Estados Unidos de propiedad comun 61/533 627 (numero de expediente Qualcomm 113346P1) presentada el 12 de septiembre del 2011, la Solicitud de Patente Provisional de Estados Unidos 61/535 234 (numero de expediente Qualcomm 113346P2) presentada el 15 de septiembre de 2011, la Solicitud de Patente Provisional de Estados Unidos 61/583 052 (numero de expediente Qualcomm 113346P3), presentada el 4 de enero de 2012, la Solicitud de Patente Provisional de Estados Unidos 61/606 794 (numero de expediente Qualcomm 121585P1) presentada el 5 de marzo de 2012, la Solicitud de Patente Provisional de Estados Unidos 61/645 987 (numero de expediente Qualcomm 121585P2) presentada el 11 de mayo de 2012, y la Solicitud de Patente Provisional de Estados Unidos 61/611 553 (numero de expediente Qualcomm 121602P1) presentada el 15 de marzo de 2012. Ademas, el contenido de la solicitud no provisional con el numero de expediente Qualcomm 113346 titulada: COMUNICACION INALAMBRICA UTILIZANDO CONFIGURACION DE CONEXION Y RE-AUTENTIFICACION CONCURRENTE, presentada el 11 de septiembre de 2012, y la solicitud no provisional con el numero de expediente Qualcomm 121602, titulada: SISTEMAS Y PROCEDIMIENTOS PARA CODIFICAR INTERCAMBIOS CON UN CONJUNTO DE DATOS DE CLAVE EFIMERA COMPARTIDA, presentada el 11 de septiembre de 2012, son relevantes.
ANTECEDENTES
Campo
[0002] Lo siguiente se refiere en general a la comunicacion inalambrica y mas especfficamente a vincular los procesos de configuracion y autentificacion en la comunicacion inalambrica.
Descripcion de la tecnica relacionada
[0003] Los avances en la tecnologfa han dado lugar a dispositivos informaticos personales mas pequenos y mas potentes. Por ejemplo, existe actualmente una variedad de dispositivos informaticos personales portatiles, incluyendo dispositivos informaticos inalambricos, tales como telefonos inalambricos portatiles, asistentes digitales personales (PDA) y dispositivos de busqueda que son pequenos y ligeros y que pueden ser facilmente transportados por los usuarios. Mas especfficamente, los telefonos inalambricos portatiles, tales como telefonos celulares y telefonos de protocolo de Internet (IP), pueden comunicar paquetes de voz y datos a traves de redes inalambricas. Ademas, muchos de tales telefonos inalambricos incluyen otros tipos de dispositivos que se incorporan en ellos. Por ejemplo, un telefono inalambrico tambien puede incluir una camara digital, una camara de video digital, un grabador digital y un reproductor de archivos de audio. Ademas, dichos telefonos inalambricos pueden procesar instrucciones ejecutables, incluidas aplicaciones de software, como una aplicacion de navegador de Internet, que se pueden utilizar para acceder a Internet. Como tales, estos telefonos inalambricos pueden incluir capacidades informaticas significativas.
[0004] Las redes de comunicacion inalambrica permiten a los dispositivos de comunicacion transmitir y/o recibir informacion mientras esta en movimiento. Estas redes de comunicacion inalambrica pueden estar comunicativamente acopladas a otras redes publicas o privadas para permitir la transferencia de informacion hacia y desde el terminal de acceso movil. Dichas redes de comunicacion incluyen tfpicamente una pluralidad de puntos de acceso (AP) que proporcionan enlaces de comunicacion inalambrica a terminales de acceso (por ejemplo, dispositivos de comunicacion movil, telefonos moviles, terminales de usuario inalambricos). Los puntos de acceso pueden ser estacionarios (por ejemplo, fijados al suelo) o moviles (por ejemplo, montados en vehfculos, satelites, etc.) y posicionados para proporcionar una amplia area de cobertura a medida que el terminal de acceso se mueva dentro del area de cobertura.
[0005] Los dispositivos portatiles pueden configurarse para comunicar datos a traves de estas redes inalambricas. Por ejemplo, muchos dispositivos estan configurados para funcionar de acuerdo con una especificacion del Instituto de Ingenieros Electricos y Electronicos (IEEE) 802.11 que permite el intercambio inalambrico de datos a traves de un punto de acceso. En algunos sistemas de comunicacion, cuando un terminal de acceso movil se conecta a una red de comunicacion a traves de un punto de acceso, realiza autentificacion de acceso a la red. Cada vez que un terminal de acceso movil se conecta a un punto de acceso diferente, puede ser necesario repetir el proceso de autentificacion. Sin embargo, repetir este proceso de autentificacion puede introducir retrasos significativos en la configuracion.
[0006] Muchos dispositivos de comunicacion estan configurados para realizar una configuracion de enlace tanto en un paso inicial de conexion como en una o mas pasos de reconexion. Los sistemas actuales asumen la clave pre- compartida para la asignacion de direcciones AP-IP despues de la autentificacion para proteger las asignaciones de direcciones IP.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0007] Si bien la utilizacion de multiples mensajes comunicados entre dos o mas puntos de procesamiento de mensajes en el sistema permite la configuracion de enlace, es altamente deseable reducir el numero de mensajes comunicados mientras se mantiene un nivel de autentificacion requerido de la comunicacion.
[0008] Por otra parte, un dispositivo de comunicacion movil puede escanear en busca de un punto de acceso cercano antes de que se pueda realizar la configuracion de enlace. Este escaneo puede ser "pasivo" o "activo". En el escaneo "pasivo", el dispositivo puede escuchar la actividad del punto de acceso (por ejemplo, un mensaje de control). En el escaneo "activo", el dispositivo puede radiodifundir una consulta y luego esperar las respuestas de los puntos de acceso cercanos. Por lo tanto, el escaneo "pasivo" puede tardar mucho tiempo y el escaneo "activo" puede consumir tanto tiempo como energfa en el dispositivo de comunicacion movil.
[0009] El documento XP017674098 divulga una re-autentificacion rapida, en la que una solicitud de asociacion se envfa al menos parcialmente sin proteccion. ANonce esta incluido en la respuesta de asociacion.
[0010] La invencion actual se define mediante la materia objeto de las reivindicaciones independientes. Se definen modos de realizacion preferidos mediante las reivindicaciones dependientes.
BREVE DESCRIPCION DE LOS DIBUJOS
[0011] Diversas caracterfsticas, naturaleza y ventajas pueden resultar evidentes a partir de la descripcion detallada expuesta a continuacion cuando se toma junto con los dibujos, en los que los mismos caracteres de referencia identifican los elementos similares correspondientes.
La FIG. 1 es un diagrama conceptual que ilustra un ejemplo de una red inalambrica;
La FIG. 2 es un diagrama de bloques que ilustra un ejemplo de un dispositivo de usuario.
La FIG. 3 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse en una configuracion de conexion convencional.
La FIG. 4 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con uno o mas aspectos de la presente divulgacion.
La FIG. 5 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse al realizar la configuracion y autentificacion del enlace.
La FIG. 6 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 7 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 8 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 9 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 10 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 11 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 12 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse durante un protocolo de re- autentificacion.
La FIG. 13 ilustra una jerarqufa de claves que puede usarse para un protocolo de re-autentificacion.
La FIG. 14 es un diagrama de flujo que muestra un proceso a modo de ejemplo para generar y agrupar una solicitud de re-autentificacion y una solicitud de descubrimiento en una solicitud de asociacion.
La FIG. 15 es un diagrama de flujo que muestra un proceso a modo de ejemplo que funciona en una estacion base para recibir y extraer una solicitud de re-autentificacion y un mensaje de capa superior de una solicitud de asociacion enviada por una estacion / terminal.
5
10
15
20
25
30
35
40
45
50
55
60
65
La FIG. 16 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 17 es un diagrama de flujo que muestra un proceso a modo de ejemplo que puede ser accionado en la estacion de la FIG. 16 para realizar la configuracion y autentificacion del enlace.
La FIG. 18 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en el punto de acceso de la FIG. 16 para realizar la configuracion y autentificacion del enlace.
La FIG. 19 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 20 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace.
La FIG. 21 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en la estacion de las FIGs. 19-20 para realizar la configuracion y autentificacion del enlace.
La FIG. 22 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en el punto de acceso de las FIGs. 19-20 para realizar la configuracion y autentificacion del enlace.
La FIG. 23 es un diagrama que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion de enlace.
La FIG. 24 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en una estacion para realizar la configuracion y autentificacion de enlace como se muestra en la FIG. 23.
La FIG. 25 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en un punto de acceso para realizar la configuracion y autentificacion de enlace como se muestra en la FIG. 23.
La FIG. 26 es un diagrama que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion de enlace.
La FIG. 27 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en una estacion para realizar la configuracion y autentificacion de enlace como se muestra en la FIG. 26.
La FIG. 28 es un diagrama de flujo que muestra un proceso a modo de ejemplo operable en un punto de acceso para realizar la configuracion y autentificacion de enlace como se muestra en la FIG. 26.
DESCRIPCION DETALLADA
[0012] En la siguiente descripcion, se hace referencia a los dibujos adjuntos, en los cuales se muestran, a modo de ilustracion, modos de realizacion especfficos en las que la divulgacion puede ponerse en practica. Los modos de realizacion pretenden describir aspectos de la divulgacion con suficiente detalle para permitir que los expertos en la tecnica practiquen la invencion. A continuacion, las partes de la descripcion y los dibujos que se refieren a modos de realizacion que no estan cubiertos por las reivindicaciones no deben entenderse como modos de realizacion de la invencion, sino como antecedentes o ejemplos utiles para comprender la invencion. El alcance de la invencion se define solo mediante las reivindicaciones adjuntas.
[0013] Las caracterfsticas y aspectos descritos en el presente documento proporcionan dispositivos y procedimientos para un tiempo de configuracion rapido durante un proceso de autentificacion de una configuracion de conexion. Por ejemplo, las tecnicas descritas pueden permitir que un dispositivo movil (por ejemplo, una estacion (STA)) realice la configuracion del enlace con respecto a un punto de acceso (AP) sin primero escuchar un baliza o solicitar una respuesta de sonda desde el punto de acceso. La respuesta de la sonda o la baliza puede incluir tfpicamente un punto de acceso creado para la ocasion (ANonce) que se utilizara durante la configuracion del enlace. Por lo tanto, las tecnicas descritas pueden permitir que la STA lleve a cabo la configuracion del enlace sin haber recibido previamente el ANonce. De acuerdo con una tecnica de "intercambio de 4 vfas modificadas", la STA puede enviar una solicitud de asociacion sin proteccion al AP y puede recibir el ANonce del AP en una respuesta de asociacion. El ANonce recibido puede entonces ser utilizado para la obtencion de clave. De acuerdo con una tecnica de "ANonce siguiente", la STA puede recibir, durante una primera configuracion de enlace iniciada usando un primer ANonce, un segundo ANonce para uso en una segunda configuracion de enlace posterior a la primera configuracion de enlace.
[0014] Las tecnicas descritas tambien pueden permitir el uso de una clave temporal para la proteccion de la senalizacion de capa superior. Por ejemplo, en lugar de enviar una solicitud de asociacion sin proteccion, una STA
5
10
15
20
25
30
35
40
45
50
55
60
65
puede recibir un primer ANonce (por ejemplo, ANoncel) a traves de una baliza o una respuesta de sonda de un AP y puede obtener una primera clave (por ejemplo, una primera clave transitoria de pares (PTK)) basandose en el primer ANonce. La primera clave puede usarse para proteger la solicitud de asociacion enviada por la STA al AP. En respuesta a la recepcion de la solicitud de asociacion, el AP puede generar un segundo ANonce (por ejemplo, ANonce2) y puede obtener una segunda clave (por ejemplo, una segunda PTK) basada en el segundo ANonce. El AP puede transmitir una respuesta de asociacion a la STA que incluye el segundo ANonce y que esta protegida usando la segunda clave. La STA puede obtener la segunda clave basada en el segundo ANonce y puede utilizar la segunda clave para procesar la respuesta de asociacion y completar la configuracion del enlace. La segunda clave tambien se puede usar para proteger los mensajes posteriores (por ejemplo, mensajes de datos) comunicados entre la STA y el AP.
[0015] De forma alternativa, en vez de recibir un ANonce desde el AP a traves de una respuesta de la sonda o la baliza, la STA puede recibir una semilla de ANonce en la respuesta de la sonda o la baliza. La semilla de ANonce puede ser un valor de semilla criptografica que es actualizado frecuentemente por el AP. La STA puede generar un ANonce recogiendo la semilla de ANonce con la direccion de control de acceso a medios (MAC) direccion de la STA. Por lo tanto, a diferencia de un ANonce que se radiodifunde a multiples STAs a traves de un mensaje de baliza, el ANonce generado en la STA basado en la semilla de ANonce y la direccion MAC de la STA pueden ser unicos para la STA. El ANonce generado puede ser utilizado por la STA para iniciar una configuracion de enlace con el AP. Durante la configuracion del enlace, el AP puede generar el ANonce basandose en la semilla de ANonce y la direccion MAC de la STA, que puede incluirse en los mensajes de configuracion de enlace (por ejemplo, una solicitud de asociacion) de la STA. Se observara que, en contraste con otras tecnicas de intercambio, esta tecnica puede implicar que la STA genere el ANonce antes que el AP. Ventajosamente, el ANonce puede ser exclusivo de la STA, puede enviarse "en claro" (es decir, sin cifrar) y puede no ser predecible mediante dispositivos no autorizados antes de la transmision mediante el AP.
[0016] En un modo de realizacion particular, un procedimiento incluye enviar una solicitud de asociacion sin proteccion desde un dispositivo movil a un punto de acceso. El procedimiento tambien incluye recibir una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un ANonce. El procedimiento incluye la generacion, en el dispositivo movil, de una clave transitoria de pares (PTK) usando el ANonce.
[0017] En otro modo de realizacion particular, un aparato incluye un procesador y una memoria que almacena instrucciones ejecutables por el procesador para enviar una solicitud de asociacion sin proteccion a un punto de acceso y para recibir una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un ANonce. Las instrucciones tambien son ejecutables por el procesador para generar una PTK usando el ANonce.
[0018] En otro modo de realizacion particular, un procedimiento incluye, en un punto de acceso, la recepcion de una solicitud de asociacion sin proteccion desde un dispositivo movil. El procedimiento tambien incluye extraer un mensaje de inicio de la solicitud de asociacion sin proteccion y enviar el mensaje de inicio a un servidor de autentificacion. El procedimiento incluye ademas recibir un mensaje de respuesta desde el servidor de autentificacion, donde el mensaje de respuesta incluye una clave de sesion principal de re-autentificacion (rMSK). El procedimiento incluye generar un ANonce y enviar una respuesta de asociacion al dispositivo movil, donde la respuesta de asociacion incluye el ANonce.
[0019] En otro modo de realizacion particular, un aparato incluye un procesador y una memoria que almacena instrucciones ejecutables por el procesador para recibir una solicitud de asociacion sin proteccion desde un dispositivo movil. Las instrucciones tambien son ejecutables por el procesador para extraer un mensaje de inicio de la solicitud de asociacion sin proteccion y para enviar el mensaje de inicio a un servidor de autentificacion. Las instrucciones son ademas ejecutables por el procesador para recibir un mensaje de respuesta desde el servidor de autentificacion, donde el mensaje de respuesta incluye una rMSK. Las instrucciones son ejecutables por el procesador para generar un ANonce y para enviar una respuesta de asociacion al dispositivo movil, donde la respuesta de asociacion incluye el ANonce.
[0020] En otro modo de realizacion particular, un procedimiento incluye iniciar, en un dispositivo movil, una primera configuracion de enlace con un punto de acceso utilizando un primer ANonce. El procedimiento tambien incluye recibir, durante la primera configuracion de enlace con el punto de acceso, un segundo ANonce para uso en una segunda configuracion de enlace con el punto de acceso posterior a la primera configuracion de enlace, donde el segundo ANonce es distinto del primer ANonce.
[0021] En otro modo de realizacion particular, un aparato incluye un procesador y una memoria que almacena instrucciones ejecutables por el procesador para iniciar una primera configuracion de enlace con un punto de acceso utilizando un primer ANonce. Las instrucciones son tambien ejecutables por el procesador para recibir, durante la primera configuracion de enlace con el punto de acceso, un segundo ANonce para uso en una segunda configuracion de enlace con el punto de acceso posterior a la primera configuracion de enlace, donde el segundo ANonce es distinta del primer ANonce.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0022] En otro modo de realizacion particular, un procedimiento incluye el envfo, desde un punto de acceso a un dispositivo movil durante una primera configuracion de enlace que utiliza un primer ANonce, de un segundo ANonce para uso en una segunda configuracion de enlace con el dispositivo movil con posterioridad a la primera configuracion de enlace, donde el segundo ANonce es distinto del primer ANonce.
[0023] En otro modo de realizacion particular, un aparato incluye un procesador y una memoria que almacena instrucciones ejecutables por el procesador para el envfo, a un dispositivo movil durante una primera configuracion de enlace que utiliza un primer ANonce, de un segundo ANonce para uso en una segunda configuracion de enlace con el dispositivo movil con posterioridad a la primera configuracion de enlace, donde el segundo ANonce es distinto del primer ANonce.
[0024] En otro modo de realizacion particular, un procedimiento incluye la recepcion, en un dispositivo movil, de un primer ANonce desde un punto de acceso. El procedimiento tambien incluye generar una primera PTK usando el primer ANonce. El procedimiento incluye ademas enviar una solicitud de asociacion al punto de acceso, donde la solicitud de asociacion incluye un SNonce y esta protegida usando la primera PTK. El procedimiento incluye recibir una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un segundo ANonce y esta protegida usando una segunda PTK. El procedimiento tambien incluye generar la segunda PTK usando el segundo ANonce y el SNonce. El procedimiento incluye ademas el uso de la segunda PTK para proteger al menos un mensaje posterior para enviarse al punto de acceso.
[0025] En otro modo de realizacion particular, un aparato incluye un procesador y una memoria que almacena instrucciones ejecutables por el procesador para generar, en un punto de acceso, una semilla de ANonce para enviarse a un dispositivo movil. Las instrucciones son tambien ejecutables por el procesador para generar un ANonce basandose en la semilla de ANonce y una direccion MAC del dispositivo movil que se recibe desde el dispositivo movil. Las instrucciones son ademas ejecutables por el procesador para realizar una configuracion de enlace con el dispositivo movil basandose en el ANonce generado.
[0026] En las redes inalambricas, tales como redes 802.11 (WiFi), un usuario movil puede pasar de una red a otra. En algunos casos, las redes pueden ser gestionadas por una misma entidad o portadora de red.
[0027] Algunos ejemplos no limitantes de tales casos de uso son:
1. Paso por puntos de acceso
(A) Un usuario puede pasar por (varios, no superpuestos) puntos de acceso WiFi accesibles al publico (por ejemplo, en cafeterias u otros lugares publicos). Mientras tiene conectividad, el terminal de usuario puede cargar y descargar informacion como mensajes de correo electronico, mensajes de redes sociales, etc. Otro ejemplo son los pasajeros a bordo de un tren que puede pasar por multiples estaciones de tren con puntos de acceso WiFi.
2. Tren
(B) Un usuario puede estar a bordo de un tren en el que se proporciona un servicio WiFi a los clientes a traves de un punto de acceso local (AP). Este AP puede utilizar una red troncal inalambrica basado en 802.11 para conectarse a la infraestructura al lado de las vfas. Puede utilizarse una antena direccional para proporcionar una cobertura continua a lo largo de las vfas
3. Paso por peaje / bascula
(C) Un vehfculo en una carretera que pasa por un peaje o una bascula puede ser capaz de conectarse a un AP en el peaje o la bascula. Mientras se pasa por el peaje (o se realiza el pesaje), puede proporcionarse informacion tal como la facturacion al cliente de peajes o intercambio de informacion de carga.
[0028] Las aplicaciones habilitadoras para estas conexiones no superpuestas pero relacionadas pueden basarse en un conjunto de protocolos de IP estandar y confiar potencialmente en la tecnologfa inalambrica subyacente para establecer un enlace seguro.
[0029] En algunos sistemas propuestos para la configuracion de conexiones de protocolo de Internet (IP), despues de recibir una baliza, puede haber 16 intercambios de ida y vuelta (32 mensajes comunicados desde y hacia un terminal de acceso) para establecer un enlace seguro para el terminal de acceso.
[0030] En modos de realizacion seleccionados de sistemas propuestos descritos en el presente documento, se puede realizar una configuracion de enlace rapido en la que el numero de mensajes para configurar una conexion IP y enlace seguro despues de recibir la baliza se reduce a 1 intercambio de ida y vuelta (2 mensajes) respecto a los 16 intercambios de ida y vuelta (32 mensajes) anteriores. Se puede utilizar un protocolo de autentificacion extensible / protocolo de re-autentificacion (EAP / ERP) como parte de la configuracion de enlace rapido.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0031] La FIG. 1 es un diagrama conceptual que ilustra un ejemplo de una configuracion de red inalambrica para comunicar datos entre uno o mas terminales y un punto de acceso. La configuracion de red 100 de la FIG. 1 puede utilizarse para comunicar datos entre uno o mas terminales y un punto de acceso. La configuracion de red 100 incluye un punto de acceso 102 acoplado a una red 104. El punto de acceso 102 puede estar configurado para proporcionar comunicaciones inalambricas a diversos dispositivos de comunicacion tales como dispositivos inalambricos (que tambien pueden denominarse en el presente documento estaciones (STA) y terminales de acceso (AT) 106, 108, 110). Como ejemplo no limitativo, el punto de acceso 102 puede ser una estacion base. Como ejemplos no limitativos, las estaciones / terminales 106, 108, 110 pueden ser un ordenador personal (PC), un ordenador portatil, una tableta, un telefono movil, un asistente digital personal (PDA), y/o cualquier dispositivo configurado para enviar y/o recibir datos de forma inalambrica, o cualquier combinacion de los mismos. La red 104 puede incluir una red de ordenadores distribuida, tal como una red de protocolo de control de transmision / protocolo de Internet (TCP/IP).
[0032] El punto de acceso 102 puede estar configurado para proporcionar una variedad de servicios de comunicaciones inalambricas, incluyendo, pero sin limitarse a: Servicios inalambricos de fidelidad (WiFi), interoperabilidad mundial para servicios de acceso por microondas (WiMAX) y servicios de protocolo de iniciacion de sesion inalambrica (SIP). Las estaciones / terminales 106, 108, 110 pueden configurarse para comunicaciones inalambricas (incluyendo, pero sin limitarse a, comunicaciones de acuerdo con la familia de especificaciones 802.11, 802.11-2007 y 802.11x desarrollada por el Instituto de Ingenieros Electricos y Electronicos (IEEE)). Ademas, las estaciones / terminales 106, 108, 110 pueden configurarse para enviar datos y recibir datos desde el punto de acceso 102.
[0033] La FIG. 2 es un diagrama de bloques que ilustra un terminal / estacion a modo de ejemplo 200. Un procesador 210 (por ejemplo, un Procesador de Senal Digital (DSP)) esta acoplado a una memoria 232 para almacenar informacion tal como datos para procesamiento y transmision e instrucciones 260 para su ejecucion en el procesador 210. Las instrucciones pueden ser ejecutables por el procesador 210 para realizar diversos procedimientos y funciones de una estacion / terminal, como se describe en el presente documento. Ademas, un punto de acceso (AP), un servidor de autentificacion (AS), y un servidor de protocolo de configuracion principal dinamica (DHCP) pueden incluir de manera similar un procesador y una memoria que almacena instrucciones ejecutables por el procesador para realizar varios procedimientos y funciones de un AP, AS y servidor DHCP, respectivamente, tal como se describe en el presente documento.
[0034] Un controlador de visualizacion 226 puede estar acoplado al procesador 210 y a un dispositivo de visualizacion 228. Tambien se puede acoplar un codificador / descodificador (CODEC) 234 al procesador 210. Como ejemplos no limitativos de dispositivos de interfaz de usuario, un altavoz 236 y un microfono 238 pueden estar acoplados al CODEC 234. Un controlador inalambrico 240 puede estar acoplado al procesador 210 y a una antena 242. En un ejemplo particular, el procesador 210, el controlador de visualizacion 226, la memoria 232, el CODEC 234 y el controlador inalambrico 240 pueden estar incluidos en un dispositivo de sistema en paquete o sistema en chip 222. En un ejemplo particular, un dispositivo de entrada 230 y una fuente de alimentacion 244 pueden estar acoplados al dispositivo de sistema en chip 222. Ademas, en un ejemplo particular, como se ilustra, el dispositivo de visualizacion 228, el dispositivo de entrada 230, el altavoz 236, el microfono 238, la antena 242 y el suministro de alimentacion 244 pueden ser externos al dispositivo de sistema en chip 222. Sin embargo, cada uno del dispositivo de visualizacion 228, el dispositivo de entrada 230, el altavoz 236, el microfono 238, la antena inalambrica 242 y el suministro de alimentacion 244 pueden acoplarse a un componente del dispositivo de sistema en chip 222, tal como una interfaz o un controlador.
[0035] La FIG. 3 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse en una configuracion de conexion convencional. Los mensajes mostrados entre la estacion / terminal 302 y el punto de acceso 304 pueden incluir una sonda y solicitud de autentificacion. Puede iniciarse un proceso de protocolo de autentificacion extensible (EAP) sobre red local (LAN) (EAPOL) e incluir una fase de identificacion, una fase EAP protegida (PEAP) y un protocolo de autentificacion de intercambio de autentificacion de EAP-Microsoft (EAP-MSCHAPv2). Despues del exito de EAP, se puede establecer una clave EAPOL. De este modo, al menos 16 mensajes deben ser comunicados a y desde la estacion / terminal 302 para establecer la configuracion y autentificacion del enlace.
[0036] En modos de realizacion particulares del sistema propuesto descrito en el presente documento, el numero de mensajes para configurar una conexion IP (despues de la recepcion de la baliza) se reduce a 2 mensajes (de 16 mensajes). El Protocolo de Re-autentificacion del Protocolo de Autentificacion Extensible (ERP) se puede utilizar como parte de la re-autentificacion como se describe mas completamente a continuacion con respecto a las FIGS. 12 y 13 y pueden incluir las siguientes optimizaciones. La estacion / terminal (STA) 302 puede realizar la autentificacion completa de EAP una vez, y seguir usando la re-autentificacion rapida de ERP para establecer una configuracion de enlace inicial rapida a partir de entonces.
[0037] Una clave de sesion principal de re-autentificacion (rMSK) es generada por la estacion / terminal 302 antes de enviar una solicitud de asociacion sin obtener una autentificacion desde la red. La estacion (STA) 302 de la rMSK genera una clave transitoria de pares (PTK) que incluye una clave de confirmacion de clave (KCK), una clave de
5
10
15
20
25
30
35
40
45
50
55
60
65
cifrado de clave (KEK) y una clave transitoria (TK).
[0038] La solicitud de asociacion es enviada por la estacion 302 y agrupa una solicitud de re-autorizacion de EAP con un Protocolo de Configuracion Principal Dinamica (DHCP) - Descubrimiento con Compromiso Rapido y un SNonce (por ejemplo, SNonce es recogido por la STA 302, es decir, estacion creada para la ocasion). El mensaje agrupado puede incluirse como uno o mas elementos de informacion (lEs). La solicitud de re-autorizacion de EAP es autentificada por el servidor de autentificacion (servidor de aut.) 308 utilizando una clave de integridad de re- autentificacion (rIK). El Descubrimiento con Compromiso Rapido de DHCP y SNonce se protegen mediante la clave de sesion principal de re-autentificacion (rMSK) o la clave transitoria de pares (PTK) obtenida de la rMSK. El Descubrimiento con Compromiso Rapido de DHCP puede ser cifrado y MIC'd (Codigo de Integridad de Mensaje) o no cifrado pero MIC'd. Aunque algunos de los ejemplos del presente documento pueden utilizar una solicitud de descubrimiento (por ejemplo, Descubrimiento con Compromiso Rapido) para ilustrar un concepto de re- autentificacion eficaz, debe entenderse que cualquier mensaje utilizado en una capa superior (de una pila de protocolos) para asignar la direccion IP puede ser utilizado en su lugar.
[0039] Si se cifra el mensaje DHCP, el punto de acceso 304 puede sostener los mensajes de Descubrimiento con Compromiso Rapido de DHCP y mensajes SNonce hasta que la solicitud de re-autentificacion de EAP es validada por el servidor de autentificacion 308. Para validar el mensaje, el punto de acceso (AP) 304 espera hasta que reciba una rMSK del servidor de autentificacion 308 y obtenga la clave transitoria de pares (PTK). Basandose en la rMSK obtenida del servidor de autentificacion 308, el punto de acceso 304 obtiene la PTK que se utiliza para MIC (Codigo de Integridad de Mensaje) asf como para descifrar el mensaje.
[0040] Si el mensaje DHCP no esta cifrado, el punto de acceso 304 puede reenviar el Descubrimiento con Compromiso Rapido de DHCP a un servidor DHCP con la expectativa de que la mayorfa de los casos, el mensaje provino de un dispositivo correcto (pero conservar los mensajes SNonce hasta que la solicitud de re-autentificacion de EAP sea validada por el servidor de autentificacion 308). Aunque el Descubrimiento con Compromiso Rapido de DHCP puede ser enviado al servidor DHCP, el punto de acceso 304 mantendra una confirmacion de DHCP hasta que verifique el mensaje de descubrimiento de DHCP basandose en la rMSK obtenida del servidor de autentificacion 308 y el punto de acceso 304 obtiene la PTK.
[0041] El punto de acceso (AP) 304 envfa entonces la confirmacion de DHCP + un GTK / IGTK protegido con la PTK. En otras palabras, la confirmacion de DHCP esta cifrado y la integridad del mensaje esta protegida.
[0042] Un aspecto no limitativo puede incluir el uno o mas de los siguientes pasos en un proceso para la autentificacion y configuracion de enlace.
[0043] En primer lugar, un usuario puede obtener una estacion / terminal 302 y realizar una autentificacion de EAP completa como parte de una configuracion inicial con una red especffica (por ejemplo, una red WiFi especffica). Como ejemplo no limitativo, tal vez la autentificacion de EAP completa pueda mantenerse durante un periodo de autentificacion especffico, tal como, por ejemplo, un ano.
[0044] En segundo lugar, durante el periodo de autentificacion, el usuario pasa por (varios, no superpuestos) puntos de acceso WiFi accesibles publicamente (por ejemplo, en cafeterias y otros lugares publicos). En otras palabras, este paso puede realizarse varias veces y con multiples puntos de acceso 304 que forman parte de la red de configuracion durante el periodo de autentificacion. La estacion / terminal 302 realizara una configuracion de enlace inicial rapida (FILS) con la red utilizando ERP. La agrupacion del ERP con el Descubrimiento Rapido de DHCP utilizando el mensaje de solicitud de asociacion reducira la senalizacion para la solicitud de asociacion a una isa y vuelta, como se explica mas detalladamente a continuacion. Durante el periodo de autentificacion, la estacion / terminal de usuario 302 puede continuar realizando el ERP para la configuracion de enlace inicial rapida (FILS) cuando se conecta con la red.
[0045] En tercer lugar, cuando se acerque el final de los periodos de autentificacion, el usuario puede recibir una advertencia para realizar de nuevo un "acoplamiento completo" a la red, dentro de un periodo determinado de tiempo (por ejemplo, 2 semanas). Durante este periodo, el usuario seguira siendo capaz de utilizar la autentificacion rapida basada en la autentificacion de EAP completa anterior hasta que expire o se realice un acoplamiento completo. La notificacion de acoplamiento completo puede originarse desde la red o puede configurarse localmente en la estacion / terminal 302.
[0046] En cuarto lugar, si el usuario no realiza el acoplamiento completo, despues de un ano, la red fallara a ERP e iniciara la autentificacion completa de EAP durante otro ano como se describe resumidamente en el paso 1.
[0047] Las FIGs. 4-11 ilustran varios escenarios diferentes para realizar la configuracion y la autentificacion del enlace de dos mensajes.
[0048] La FIG. 4 es un diagrama de flujo que ilustra un primer ejemplo de realizacion de una configuracion y autentificacion de enlace eficaces para una estacion cliente. En los pasos 0a y 0b, mientras esta comunicativamente
5
10
15
20
25
30
35
40
45
50
55
60
65
acoplada a un primer punto de acceso API 304A, la estacion / terminal (STA) 302 puede realizar la autentificacion de EAP completa. Al moverse (paso 1) mas cerca de un segundo punto de acceso AP2 304B, y detectar su baliza (paso 2), la estacion / terminal 302 puede intentar re-autentificarse por medio del segundo punto de acceso AP2 304B. En este proceso, el punto de acceso 304B transmite una baliza / sonda que incluye un indicador de capacidad para la configuracion de enlace inicial rapida (FILS). El indicador de capacidad puede indicar la capacidad de manejar una solicitud de asociacion con Descubrimiento Rapido de DHCP y ERP agrupado En el paso 3, la estacion / terminal 302 genera unas claves de sesion principales de re-autentificacion (rMSK) (vease la FIG. 13) utilizando ERP antes de enviar la solicitud de asociacion, donde:
rMSK = KDF (K, S);
K = rRK; y
S = rMSK etiqueta | "\ 0" | SEQ | longitud.
[0049] La estacion / terminal 302 agrupa los uno o mas mensajes como elementos de informacion (lEs) (o parametros / carga util) de una solicitud de asociacion (Paso 3). Por ejemplo, tal solicitud de asociacion puede incluir: 1) Iniciar la autentificacion de EAP (integridad de mensaje usando rIK); 2) Descubrimiento de DHCP con Compromiso Rapido (cifrado e integridad de mensajes con KCK / KEK); y/o 3) Clave EAPOL (SNonce, ANonce) (integridad del mensaje usando KCK). La clave EAPOL puede configurarse como una trama o subconjunto completo. El ANonce (es decir, el punto de acceso creado para la ocasion) puede ser seleccionado por la estacion / terminal 302 y enviado al punto de acceso AP2 304B. El punto de acceso (AP2) 304B puede asegurar que la estacion / terminal 302 esta usando un ANonce enviado en los ultimos segundos / milisegundos (por ejemplo, un ANonce reciente obtenido de la baliza para el AP2), por ejemplo. El punto de acceso AP2 304B contiene el mensaje de clave DHCP y EAPOL hasta que recibe una clave de sesion principal original (rMSK) del servidor de autentificacion 308. El punto de acceso AP2 304B genera una PTK desde la rMSK. El punto de acceso AP2 304B realiza un intercambio de Codigo de Integridad de Mensaje (MIC) para los mensajes de clave DHCP y EAPOL y descifra el DHCP. El punto de acceso AP2 304B utiliza la rMSK para obtener KCK / KEK para proteger una confirmacion de DHCP y un mensaje de clave EAPOL antes de enviarlo a la estacion / terminal 302.
[0050] En diversos ejemplos, el ANonce puede ser enviado por el AP2 304B ya sea usando la baliza para permitir que las estaciones que utilizan escaneo pasivo, o en un mensaje de respuesta de sonda cuando se usa el escaneo activo. Cuando el ANonce es enviado por el AP2 304B usando la baliza, el ANonce se puede cambiar en cada baliza, o un multiplo de balizas. La estacion 302 puede incluir el ANonce escogido por la estacion 302 en el mensaje de Solicitud de Asociacion enviado desde la estacion 302 a AP2 304B.
[0051] La FIG. 5 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 1a. Los procesos realizados en la FIG. 5 son similares a los realizados en la FIG. 4 (Opcion 1), excepto que se utiliza la rMSK (en lugar de la KCK / KEK de la PTK) para autentificar los mensajes de descubrimiento de DHCP y clave EAPOL encapsulados en el mensaje de solicitud de asociacion.
[0052] La FIG. 6 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 1b. Los procesos realizados en la FIG. 6 son similares a los realizados en la FIG. 4 (Opcion 1), excepto las siguientes diferencias posibles. El paso 2 mostrado en la FIG. 6, el punto de acceso 304 puede anunciar una capacidad de que la solicitud de DHCP pueda cifrarse. El paso 4 mostrado en la FIG. 6, la estacion / terminal 302 puede decidir si el mensaje DHCP debe ser cifrado o no. Varios factores pueden ser tomados en consideracion por la estacion / terminal 302, tales como, por ejemplo, si la solicitud de descubrimiento de DHCP contiene cualquier informacion privada, etc. Si la estacion / terminal decide cifrar la solicitud de descubrimiento de DHCP, entonces el punto de acceso 304 puede contener el mensaje (como se muestra en las FIGs. 4 y 5).
[0053] Si la estacion / terminal decide no cifrar la solicitud de Descubrimiento de DHCPr, se pueden realizar los siguientes pasos. El paso 4 mostrado en la FIG. 6, el elemento de informacion (IE) de solicitud de descubrimiento de DHCP o el parametro solo esta protegido contra la integridad de mensajes. Basandose en el paso 4, el punto de acceso 304 envfa el Descubrimiento con Compromiso Rapido de DHCP (paso 6) sin esperar una respuesta para una solicitud de inicio de re-autentificacion de eAp (paso 9). Este proceso hace que la asignacion de direcciones IP tenga lugar en paralelo con el procedimiento de re-autentificacion de EAP. En el paso 7a mostrado en la FIG. 6, el punto de acceso contiene la confirmacion de DHCP que provenfa del servidor DHCP hasta el paso 10b, en la que se ha validado el Descubrimiento de DHCP. Si la integridad del mensaje falla, entonces el punto de acceso 304 inicia un procedimiento para eliminar la direccion IP asignada mediante la confirmacion de DHCP.
[0054] La FIG. 7 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 2. Los procesos realizados en la FIG. 7 son similares a los realizados en la FIG. 4 (Opcion 1), excepto las siguientes diferencias posibles. En lugar de autentificar el mensaje DHCP y el mensaje de clave EAPOL de forma independiente, la carga util combinada que incluye la re-autentificacion de EAP, el Descubrimiento de DHCP y la clave EAPOL puede autentificarse utilizando KCK / KEK. El punto de acceso 304 extrae el mensaje de inicio de re-autentificacion de EAP
5
10
15
20
25
30
35
40
45
50
55
60
65
y lo envfa al servidor de autentificacion 308 sin validar el mensaje completo, que se autentifico utilizando KCK / KEK. El punto de acceso 304 autentifica el mensaje completo despues de recibir la Rmsk del servidor de autentificacion 308.
[0055] La FIG. 8 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 2a. Los procesos realizados en la FIG. 8 son similares a los realizados en la FIG. 5 (Opcion 1a), salvo las siguientes posibles diferencias. En lugar de autentificar el mensaje DHCP y el mensaje de clave EAPOL de forma independiente, la carga util combinada que incluye la re-autentificacion de EAP, el descubrimiento de DHCP y la clave EAPOL pueden autentificarse utilizando la rMSK. El punto de acceso 304 extrae el mensaje de inicio de re-autentificacion de EAP y lo envfa al servidor de autentificacion 308 sin validar el mensaje completo, que se autentifico utilizando la rMSK. El punto de acceso 304 autentifica el mensaje completo despues de recibir la rMSK del servidor de autentificacion 308. El mensaje de descubrimiento de DHCP (paso 9) se puede enviar antes del paso 5. En este caso, la direccion IP asignada se omite si la autentificacion no tiene exito.
[0056] La FIG. 9 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 2b. Los procesos realizados en la FIG. 9 son similares a los realizados en la FIG. 4 excepto por las siguientes diferencias posibles. En el paso 2, el punto de acceso puede anunciar la capacidad de que la solicitud DHCP puede cifrarse. En el paso 4, la estacion / terminal 302 decide si el mensaje DHCP debe estar cifrado o no. Varios factores pueden ser tomados en consideracion por la estacion / terminal 302, tales como, por ejemplo, si la solicitud de descubrimiento de DHCP contiene cualquier informacion privada, etc. Si la estacion / terminal 302 decide cifrar la solicitud de descubrimiento de DHCP, entonces el punto de acceso 304 mantendra el mensaje como se ha descrito anteriormente en la opcion 2 y en la opcion 2a. Si la estacion / terminal 302 decide no cifrar la solicitud de descubrimiento de DHCP, entonces se pueden realizar los siguientes pasos. En el paso 4, el mensaje de descubrimiento de DHCP IE solo esta protegido contra la integridad del mensaje. Basandose en el paso 4, el punto de acceso 304 envfa el Descubrimiento con Compromiso Rapido de DHCP (paso 6) sin esperar respuesta para la Solicitud de Inicio de Re-autentificacion de EAP (paso 9). Este proceso hace que la asignacion de direcciones IP tenga lugar en paralelo con el procedimiento de re-autentificacion de EAP. En el paso 7a, el punto de acceso 304 contiene la confirmacion de DHCP que provenfa del servidor DHCP hasta el paso 10b, en el que se ha validado el descubrimiento de DHCP. Si falla la integridad del mensaje, entonces el punto de acceso 304 inicia un procedimiento para eliminar la direccion IP asignada mediante el mensaje de confirmacion de DHCP.
[0057] La FIG. 10 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 3. Los procesos realizados en la FIG. 10 son similares a los realizados en las FIGs. 4 y 5 (Opciones 1 y 1a), salvo las siguientes diferencias posibles. El ANonce se puede enviar en la respuesta de asociacion junto con un mensaje "Instalar PTK, GTK, IGTK". Los pasos 9 y 11 en la FIG. 10 puede realizarse en paralelo con los pasos 5 - 7 como se describe en la opcion 1b y la opcion 2b.
[0058] Una opcion 4 tambien se puede obtener a partir de las opciones 1 y 2, excepto por las siguientes diferencias posibles. En lugar de un solo mensaje en el paso 4 (es decir, la solicitud de asociacion), la solicitud de asociacion puede dividirse como mensaje 1 (M1), que encapsula el mensaje de descubrimiento de DHCP y el mensaje 2 (M2), que encapsula el mensaje de inicio de re-autentificacion de EAP y el SNonce. El punto de acceso 304 no actuara sobre el mensaje de descubrimiento de DHCP hasta que reciba la clave EAPOL. Los dos mensajes (M1 y M2) pueden estar separados por un periodo SIFS. Esta opcion 4 puede tener una ventaja de que la estructura EAPOL puede ser reutilizada.
[0059] La FIG. 11 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Este proceso puede denominarse Opcion 5. Los procesos realizados en la FIG. 11 son similares a los realizados en la FIG. 4 (Opcion 1), excepto las siguientes diferencias posibles. El punto de acceso 304 transmite la respuesta de sonda / baliza, que incluye el indicador de capacidad de Ajuste de Enlace Inicial Rapido (FILS) para la asignacion simultanea de direcciones ERP y/o IP. En este escenario, el temporizador de arrendamiento de la direccion IP asignada por el punto de acceso 304 no ha expirado. La estacion / terminal 302 usa la direccion IP asignada por un primer punto de acceso 304A en una solicitud DHCP enviada a un segundo punto de acceso 304 para confirmar si puede continuar usando esa direccion IP. Si la direccion IP ha expirado, entonces el servidor DHCP 306 envfa un DHCP-NAK.
[0060] La FIG. 12 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse durante un protocolo de re- autentificacion. La primera vez que la estacion / terminal 302 se conecta a una red, realiza un intercambio de EAP completo con el servidor de autentificacion 308. Como resultado, una clave de sesion principal (MSK) se distribuye al autentificador de EAP. La clave de sesion principal (MSK) es entonces utilizada por el autentificador y la estacion / terminal 302 para establecer claves de sesion transitorias (TSK) segun sea necesario. En el momento del intercambio inicial de EAP, la estacion / terminal 302 y el servidor de autentificacion 308 tambien obtienen una EMSK, que se utiliza para obtener una clave original de re-autentificacion (rRK). Mas especfficamente, una clave original de re-autentificacion (rRK) puede obtenerse a partir de la MSK ampliada (EMSK) o de una clave original
5
10
15
20
25
30
35
40
45
50
55
60
65
especffica del dominio (DSRK), que se obtiene a partir de la EMSK. La clave original de re-autentificacion (rRK) puede estar solamente disponible para la estacion / terminal 302 y el servidor de autentificacion 308 y en general no se distribuye a ninguna otra entidad. Ademas, una clave de integridad de re-autentificacion (rIK) puede obtenerse a partir de la clave original de re-autentificacion (rRK). La estacion / terminal 302 y el servidor de autentificacion 308 pueden usar la clave de integridad de re-autentificacion (rIK) para proporcionar prueba de posesion mientras se realiza un intercambio de ERP. La clave de integridad de re-autentificacion (rIK) tambien en general no se distribuye a ninguna otra entidad y en general solo esta disponible para la estacion / terminal 302 y el servidor de autentificacion 308.
[0061] Dos nuevos codigos de EAP, Inicio de EAP y Finalizacion de EAP, se definen con el fin de re-autentificacion de EAP. Cuando la estacion / terminal 302 solicita un ERP, realiza el intercambio de ERP mostrado en la ventana inferior de la FIG. 12.
[0062] La FIG. 13 ilustra una jerarqufa de claves que puede usarse para un protocolo de re-autentificacion. La clave de sesion principal (MSK) se puede obtener a partir de una clave original y una clave principal de pares (PMK) se puede obtener a partir de la clave de sesion principal (MSK). La MSK ampliada (EMSK) puede obtenerse a partir de la clave original. Para el intercambio de ERP, se pueden obtener varias claves adicionales de la MSK ampliada (EMSK). Se puede obtener DSRK1-DSRKn. Cada una de las claves de clave original especffica del dominio (DSRK) puede incluir el rRK. A partir de la clave original de re-autentificacion (rRK), se puede obtener la clave de integridad de re-autentificacion (rIK) y las claves de sesion principal de re-autentificacion (rMSK1 ... rMSKn). Cada una de las rMSK puede incluir una clave principal de pares (PMK). Se puede obtener a partir de la PMK una clave transitoria de pares (PTK) (que puede incluir una clave de confirmacion de clave (KCK), una clave de cifrado de clave (KEK) y una clave transitoria (TK)).
[0063] La FIG. 14 es un diagrama de flujo que muestra un proceso a modo de ejemplo 1400 que funciona en una estacion / terminal para generar y agrupar una solicitud de re-autentificacion y un mensaje de la capa superior (por ejemplo, solicitud de descubrimiento) en una solicitud de asociacion. El bloque de funcionamiento 1402 indica que se recibe desde el punto de acceso una baliza que incluye un numero aleatorio o creado para la ocasion (por ejemplo, ANonce). En el bloque de funcionamiento 1404, el terminal genera una solicitud de re-autentificacion con un protocolo de autentificacion extensible a partir de una clave de cifrado utilizando el numero aleatorio o creado para la ocasion. En el bloque de funcionamiento 1406, el terminal genera un mensaje de capa superior. Por ejemplo, dicho mensaje de capa superior puede ser una solicitud de descubrimiento, una solicitud de descubrimiento con compromiso rapido de protocolo de configuracion principal dinamica (DHCP)
y/o el mensaje de asignacion de direcciones del protocolo de Internet (IP).
[0064] El bloque de funcionamiento 1408 indica que, en algunos aspectos, el terminal puede generar una clave de sesion principal de re-autentificacion (rMSK) que responde a los resultados de un proceso de autentificacion anterior. El bloque de operaciones 1410 indica que en algunos aspectos el terminal puede generar una clave transitoria de pares (PTK) a partir de la rMSK, el numero aleatorio (ANonce) y/o un numero aleatorio generado localmente (SNonce).
[0065] El bloque de funcionamiento 1412 indica que en algunos aspectos el terminal puede cifrar el mensaje de la capa superior con la rMSK. El bloque de funcionamiento 1414 indica que en algunos aspectos el terminal puede cifrar el mensaje de capa superior con la PTK o una combinacion de la KCK y la KEK. En otros aspectos, el mensaje de la capa superior puede no estar cifrado.
[0066] El bloque de funcionamiento 1416 indica que en algunos aspectos el terminal puede generar la solicitud de asociacion como un primer mensaje que encapsula un mensaje de descubrimiento de DHCP, un segundo mensaje que encapsula un mensaje de inicio de re-autentificacion de eApOL.
[0067] El bloque de funcionamiento 1418 indica que el terminal agrupa el mensaje de la capa superior y la solicitud re-autentificacion como una solicitud de asociacion. El bloque de funcionamiento 1420 indica que en algunos aspectos el terminal puede transmitir el primer mensaje y el segundo mensaje por separado.
[0068] La FIG. 15 es un diagrama de flujo que muestra un proceso a modo de ejemplo 1500 que funciona en una estacion base para recibir y extraer una solicitud de re-autentificacion y un mensaje de la capa superior de una solicitud de asociacion enviada por una estacion / terminal. El bloque de funcionamiento 1502 indica que en algunos aspectos el punto de acceso puede generar un numero aleatorio y transmitir una baliza que incluye el numero aleatorio.
[0069] El bloque de funcionamiento 1504 indica que el punto de acceso recibe desde un terminal una solicitud de asociacion que incluye un mensaje de capa superior (por ejemplo, solicitud de descubrimiento) y una solicitud de re- autentificacion agrupados. El bloque de funcionamiento 1506 indica que el punto de acceso extrae el mensaje de capa superior de la solicitud de asociacion y lo reenvfa a un servidor de configuracion. El bloque de funcionamiento 1508 indica que el punto de acceso extrae la solicitud de re-autentificacion de la solicitud de asociacion y la reenvfa a un servidor de autentificacion.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0070] El bloque de funcionamiento 1510 indica que en algunos aspectos el punto de acceso puede recibir una clave de cifrado del servidor de autentificacion. El bloque de funcionamiento 1512 indica que en algunos aspectos el punto de acceso puede generar una PTK desde la clave de cifrado, el numero aleatorio y un numero aleatorio recibido desde el terminal. El bloque de funcionamiento 1514 indica que en algunos aspectos el punto de acceso puede verificar el mensaje de capa superior con una combinacion de KCK y KEK dentro de la PTK, lo cual incluye una clave de confirmacion de clave de protocolo de autentificacion extensible sobre LAN (EAPOL) y la clave de cifrado de clave (KEK) EAPOL.
[0071] Se observara que los modos de realizacion particulares descritos con referencia a las FIGs. 4-15 puede implicar un intercambio de 4 vfas para la configuracion de enlace inicial rapida. En general, el intercambio de 4 vfas puede incluir: 1) El AP envfa un ANonce a la STA, 2) la STA envfa un SNonce al AP, 3) el AP envfa una PTK a la STA, y 4) la STA confirma la finalizacion del intercambio.
[0072] Asf, la primera parte del intercambio de 4 vfas puede implicar una STA que escucha una baliza o solicita una respuesta de sonda a partir de un punto de acceso antes de iniciar la configuracion de enlace con el punto de acceso. Por ejemplo, la respuesta de la sonda o la baliza puede incluir el ANonce que sera utilizado por la STA para fines de cifrado y/o integridad del mensaje. Sin embargo, escuchar una baliza puede consumir tiempo y solicitar una respuesta de sonda puede consumir tiempo y energfa. Por lo tanto, el tiempo y la energfa en la STA pueden conservarse permitiendo que la STA lleve a cabo la configuracion del enlace sin primero escuchar un baliza o solicitar una respuesta de sonda desde el punto de acceso.
[0073] La FIG. 16 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. En particular, la FIG. 16 ilustra un intercambio modificado de 4 vfas que permite la configuracion del enlace sin escuchar primero una baliza o solicitar una respuesta de sonda desde un punto de acceso.
[0074] Los mensajes y operaciones seleccionados ilustrados en la FIG. 16 pueden corresponder a los mensajes y operaciones ilustrados en las FIGs. 4-11, con las siguientes modificaciones. La STA 302 puede generar una rMSK y un SNonce, en el paso 2, y enviar una solicitud de asociacion sin proteccion al AP 304, en el paso 3. La solicitud de asociacion sin proteccion puede incluir el SNonce. En contraste con el modo de realizacion de la FIG. 4, la STA 302 puede realizar estas operaciones antes de recibir el ANonce y obtener la PTK. Debido a que la STA 302 envfa la solicitud de asociacion antes de recibir el ANonce y obtener la PTK, el AP 304 puede extraer y reenviar la porcion de inicio de re-autentificacion de EAP de la solicitud de asociacion al AS 308, como se indica en el paso 4, sin realizar verificacion de ANonce como se describe en la FIG. 4. En su lugar, el AP 304 puede confiar en que el AS 308 transmita un mensaje de respuesta con una rMSK obtenida (paso 7) como autentificacion para la STA 302.
[0075] Despues de recibir la rMSK, el AP 304 puede generar el ANonce, en el paso 9, y obtener la PTK basandose en el ANonce, la rMSK, y el SNonce, en el paso 10a. De este modo, la PTK puede obtenerse en el AP 304 antes de obtenerse en la STA 302. El AP 304 puede enviar una respuesta de asociacion que incluye el ANonce a la STA 302, en el paso 12, donde la respuesta de asociacion esta protegida usando la KCK y KEK de la PTK. Despues de recibir la respuesta de asociacion del AP 304, la STA 302 puede generar la PTK utilizando la rMSK, el SNonce y el ANonce en la respuesta de asociacion, en el paso 12a.
[0076] La respuesta de asociacion enviada desde el AP 304 (que incluye el ANonce), esta protegida por integridad usando el ANonce. Los elementos de informacion que no sean ANonce en la respuesta de asociacion tambien pueden ser cifrados. De este modo, el AP 304 puede "pre-proteger" (es decir, pre-cifrar / pre-proteger con integridad) la respuesta de asociacion usando una PTK generada en el AP 304 usando el SNonce obtenido de la STA 302 en la solicitud de asociacion, una rMSK obtenida del AS 308, y el ANonce generado localmente que todavfa no se ha transmitido a la STA 302. Al recibir la respuesta de asociacion, la STA 302 extrae el ANonce de la respuesta de asociacion, genera la PTK y verifica la proteccion de integridad del mensaje. Asf, la STA 302 "post-valida" el mensaje basandose en una clave obtenida del mensaje. Tal pre-proteccion y post-validacion puede permitir una configuracion de enlace mas rapida que los esquemas de intercambio convencionales que primero confirman las claves y luego protegen los datos usando las teclas.
[0077] El modo de realizacion de la FIG. 16 puede permitir asf a la STA 302 realizar un intercambio modificado de 4 vfas para la configuracion del enlace sin primero escuchar un baliza o solicitar una respuesta de sonda. Esto puede reducir el tiempo de configuracion del enlace y ahorrar energfa en la STA 302. Debe tenerse en cuenta que debido a que la STA 302 no espera una respuesta de sonda / baliza, la STA 302 puede usar un mecanismo de direccionamiento alternativo para la solicitud de asociacion sin proteccion. Por ejemplo, cuando el AP 304 es "conocido" para la STA 302, la STA 302 puede haber almacenado previamente un identificador de conjunto de servicios basicos (BSSID) del AP 304 en una memoria de la STA 302. Para iniciar la configuracion del enlace, la STA 302 puede recuperar el BSSID almacenado y puede enviar la solicitud de asociacion sin proteccion al AP 304 basandose en el BSSID. Las situaciones en las que el AP 304 puede ser "conocido" para la STA 302 incluyen cuando el AP 304 ha sido previamente visitado por la STA 302 (por ejemplo, un AP "de hogar" o un AP de "oficina") y cuando la STA 302 no se ha movido recientemente (por ejemplo, segun lo determinado por una capacidad del
5
10
15
20
25
30
35
40
45
50
55
60
65
sistema de posicionamiento celular y/o global (GPS) de la STA 302). Por lo tanto, en un modo de realizacion particular, la STA 302 puede enviar la solicitud de asociacion en respuesta a la informacion de localizacion determinada en la STA 302 (por ejemplo, cuando la STA 302 "sabe" que el AP 304 de destino esta en la proximidad de la STA 302).
[0078] La FIG. 17 es un diagrama de flujo que muestra un proceso a modo de ejemplo 1700 operable en la STA 302 de la FIG. 16 para realizar la configuracion y autentificacion del enlace. En 1702, un dispositivo movil (por ejemplo, la STA 302) puede recuperar un BSSID de un punto de acceso previamente visitado por el dispositivo movil. Procediendo a 1704, el dispositivo movil puede generar una rMSK y un SNonce. Avanzando hasta 1706, el dispositivo movil puede enviar una solicitud de asociacion sin proteccion al punto de acceso basandose en el BSSID. Por ejemplo, haciendo referencia a la FIG. 16, la STA 302 puede enviar la solicitud de asociacion sin proteccion al AP 304 en el paso 3.
[0079] Continuando con 1708, el dispositivo movil puede recibir una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un ANonce. En 1710, el dispositivo movil puede generar una PTK usando la rMSK, el SNonce y el ANonce en la respuesta de asociacion recibida. Por ejemplo, haciendo referencia a la FIG. 16, la STA 302 puede recibir la respuesta de asociacion del AP 304 en el paso 12 y puede obtener la PTK en el paso 12a.
[0080] La FIG. 18 es un diagrama de flujo que muestra un proceso inventivo 1800 operable en el AP 304 de la FIG. 16 para realizar la configuracion y autentificacion del enlace. En 1802, un punto de acceso recibe una solicitud de asociacion sin proteccion desde un dispositivo movil, donde la solicitud de asociacion sin proteccion incluye un SNonce. Procediendo a 1804, el punto de acceso extrae un mensaje de inicio de la solicitud de asociacion sin proteccion. Continuando con 1806, el punto de acceso envfa el mensaje de inicio a un servidor de autentificacion y recibe un mensaje de respuesta desde el servidor de autentificacion, donde el mensaje de respuesta incluye una rMSK. Por ejemplo, haciendo referencia a la FIG. 16, el AP 304 puede recibir la solicitud de asociacion sin proteccion desde la STA 302 en el paso 3 y puede recibir la rMSK del AS 308 en el paso 8.
[0081] Avanzando hasta 1808, el punto de acceso puede generar un ANonce. El punto de acceso genera tambien una PTK utilizando la rMSK, el ANonce y el SNonce, en 1810. Continuando con 1812, el punto de acceso envfa una respuesta de asociacion al dispositivo movil, donde la respuesta de asociacion incluye el ANonce y esta protegida usando la PTK. Por ejemplo, haciendo referencia a la FIG. 16, el AP 304 puede generar el ANonce en el paso 9, obtener la PTK en el paso 10a y enviar la respuesta de asociacion a la STA 302 en el paso 12.
[0082] La FIG. 19 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. En particular, la FIG. 19 ilustra la provision, durante una primera configuracion de enlace, de un ANonce "siguiente" que se puede usar durante una segunda configuracion de enlace posterior a la primera configuracion de enlace.
[0083] Los mensajes y operaciones seleccionados ilustrados en la FIG. 16 pueden corresponder a los mensajes y operaciones ilustrados en las FIGs. 4-11, con las siguientes modificaciones. La STA 302 puede iniciar una primera configuracion de enlace 1902 con el AP 304 usando un primer ANonce (por ejemplo, ANonce[x]). En un modo de realizacion particular, el primer ANonce puede haber sido previamente enviado por el AP 304 y recibido por la STA 302 a traves de una respuesta de la sonda o la baliza (por ejemplo, como se muestra en el paso 2a), recuperado de una memoria de la STA 302 (por ejemplo, como se muestra en el paso 2b), o cualquier combinacion de los mismos.
[0084] Durante la primera configuracion de enlace 1902, la STA 302 puede transmitir una solicitud de asociacion al AP 304 utilizando el primer ANonce (por ejemplo, ANonce[x]). El AP 304 puede proporcionar un segundo ANonce (por ejemplo, ANonce[x+1]) a la STA 302 durante la primera configuracion de enlace 1902. El segundo ANonce puede ser para su uso en una segunda configuracion de enlace posterior 1904 con el AP 304. Por ejemplo, el segundo ANonce puede proporcionarse en una respuesta de asociacion (por ejemplo, como se muestra en el paso 4a), en un mensaje EAPoL (por ejemplo, como se muestra en el paso 4b), o en cualquier combinacion de los mismos.
[0085] Cuando la STA 302 inicia la segunda configuracion de enlace 1904 con el AP 304, la STA 302 puede utilizar el segundo ANonce (por ejemplo, ANonce[x+1]) en lugar de esperar una baliza o solicitar una respuesta de la sonda. En un modo de realizacion particular, el segundo ANonce (por ejemplo, ANonce[x+1] puede tener una duracion de validez establecida por el AP 304, y la STA 302 puede determinar que el segundo ANonce es valido, en el paso 5a, antes de iniciar la segunda configuracion de enlace 1904. Si se determina que el segundo ANonce no es valido, la STA 302 puede proceder como se describe con referencia a la FIG. 20.
[0086] Tras determinar que el segundo ANonce (por ejemplo, ANonce[x+1]) es valido, la STA puede iniciar la segunda configuracion de enlace 1904 usando el segundo ANonce. Durante la segunda configuracion de enlace 1904, la STA 302 puede enviar una segunda solicitud de asociacion utilizando el segundo ANonce, como se muestra en el paso 6. La STA 302 tambien puede recibir un tercer ANonce (por ejemplo, ANonce[x+2]), para ser utilizado en una tercera configuracion de enlace posterior con el AP 304, como se muestra en el paso 7a o 7b.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0087] La FIG. 20 es un diagrama de flujo que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion del enlace. Los mensajes y operaciones ilustrados en la FIG. 20 pueden corresponder a los mostrados en la FIG. 19 con las siguientes modificaciones.
[0088] En el paso 5a, la STA 302 puede determinar que el segundo ANonce (por ejemplo, ANonce[x+1]) no es valido (por ejemplo, debido a la expiracion de un periodo de tiempo de validez). De este modo, en lugar de poder utilizar el segundo ANonce durante la segunda configuracion de enlace 1904, la STA 302 puede esperar o solicitar un nuevo ANonce (por ejemplo, ANonce[y]) a traves de una respuesta de sonda o baliza, como se muestra en el paso 5b. El nuevo ANonce puede utilizarse entonces para iniciar la segunda configuracion de enlace 1904. Durante la segunda configuracion de enlace 1904, la STA 302 puede recibir desde el AP 304 otro ANonce (por ejemplo, ANonce[y+1]) para su uso en una tercera configuracion de enlace posterior.
[0089] De este modo, los modos de realizacion descritos en las Figuras 19-20 pueden proporcionar un "proximo ANonce" a dispositivos moviles, de manera que una configuracion de enlace posterior puede realizarse mas rapidamente y puede consumir menos energfa. Ademas, debe observarse que para facilitar la ilustracion, los modos de realizacion de las FIGs. 19-20 pueden no incluir todos los mensajes implicados en la configuracion del enlace. Por ejemplo, no se muestra la mensajerfa relacionada con las operaciones DHCP y la mensajerfa entre el AP 304 y el AS 308.
[0090] La FIG. 21 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2100 operable en la STA 302 de las FIGs. 19-20 para realizar la configuracion y autentificacion del enlace. En 2102, un dispositivo movil puede iniciar una primera configuracion de enlace con un punto de acceso utilizando un primer ANonce. El primer ANonce puede ser recuperado de una memoria y/o recibido desde el punto de acceso a traves de una baliza o una respuesta de sonda. Avanzando hasta 2104, el dispositivo movil puede recibir, durante la primera configuracion de enlace con el punto de acceso, un segundo ANonce para uso en una segunda configuracion de enlace posterior con el punto de acceso. El segundo ANonce se puede recibir en una respuesta de asociacion y/o un mensaje EAPOL. Por ejemplo, haciendo referencia a las FIGs. 19-20, la STA 302 puede iniciar la primera configuracion de enlace 1902 utilizando el primer ANonce (por ejemplo, ANonce[x]) y puede recibir el segundo ANonce (por ejemplo, ANonce[x+1]) durante la primera configuracion de enlace 1902.
[0091] Continuando con 2106, el dispositivo movil puede determinar si el segundo ANonce es valido. Por ejemplo, el dispositivo movil puede realizar dicha determinacion antes de iniciar la segunda configuracion de enlace. Con fines ilustrativos, el dispositivo movil puede utilizar un temporizador que se envfa junto con el segundo ANonce o un temporizador pre-configurado para determinar si el segundo ANonce es valido. Cuando se determina que el segundo ANonce es valido, el dispositivo movil puede iniciar la segunda configuracion de enlace utilizando el segundo ANonce, en 2108. Por ejemplo, haciendo referencia a la FIG. 19, la STA 302 puede iniciar la segunda configuracion de enlace 1904 usando el segundo ANonce (por ejemplo, ANonce[x+1]).
[0092] Cuando el segundo ANonce se determina que no es valido, el dispositivo movil puede recibir un nuevo ANonce del punto de acceso, en 2110. El ANonce nuevo puede ser recibido en una baliza o una respuesta de la sonda. Procediendo a 2112, el dispositivo movil puede iniciar una configuracion de enlace con el punto de acceso utilizando el nuevo ANonce. Por ejemplo, haciendo referencia a la FIG. 20, el dispositivo movil puede usar el nuevo ANonce (por ejemplo, ANonce[y]) para la configuracion del enlace.
[0093] La FIG. 22 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2200 operable en el AP 304 de las FIGs. 19-20 para realizar la configuracion y autentificacion del enlace. En 2202, un punto de acceso puede enviar un primer ANonce a un dispositivo movil. El primer ANonce se puede enviar antes de iniciar una primera configuracion de enlace que utiliza el primer ANonce. Avanzando hasta 2204, el punto de acceso puede enviar al dispositivo movil, durante la primera configuracion de enlace, un segundo ANonce para su uso en una segunda configuracion de enlace posterior con el dispositivo movil. Por ejemplo, haciendo referencia a las FIGs. 19-20, durante la primera configuracion de enlace 1902 que utiliza el primer ANonce (por ejemplo, ANonce[x]), el AP 304 puede enviar a la STA 302 el segundo ANonce (por ejemplo, ANonce[x+1]) para su uso en la configuracion del segundo enlace posterior 1904.
[0094] La FIG. 23 es un diagrama que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion de enlace. En particular, la FIG. 23 ilustra el uso de una clave "temporal" (por ejemplo, PTK) para la proteccion de senalizacion de la capa superior durante la configuracion del enlace. Dado que los mensajes de senalizacion de la capa superior tienen proteccion de seguridad incorporada (entre la STA 302 y el servidor de autentificacion 308), los mensajes de senalizacion de la capa superior pueden protegerse usando un ANonce "mas debil" (por ejemplo, un ANonce que tiene propiedades de seguridad mas bajas), que puede permitir un procedimiento de senalizacion mas rapido para la asociacion. Un ANonce "mas fuerte" se obtiene en paralelo a la senalizacion de la capa superior y se utiliza para la transferencia de datos adicional, como se describe en el presente documento.
[0095] Los mensajes y operaciones seleccionados ilustrados en la FIG. 23 puede corresponder al mensaje y las
5
10
15
20
25
30
35
40
45
50
55
60
65
operaciones ilustrados en las FIGs. 4-11, con las siguientes modificaciones. El AP 304 puede enviar un primer ANonce (por ejemplo, ANonce1) a la STA 302, como se muestra en el paso 2. La STA 302 puede obtener una primera PTK (por ejemplo, PTK1) basandose en ANonce1 y el SNonce de la STA 302, como se muestra en el paso 3a. En el paso 4, la sTa 302 puede enviar una solicitud de asociacion al AP 304. La solicitud de asociacion puede incluir el SNonce y puede protegerse usando PTK1. Con fines ilustrativos, la solicitud de asociacion puede protegerse usando una primera clave de confirmacion de clave (KCK1) obtenida a partir de PTK1.
[0096] En el paso 8a, el AP 304 puede obtener PTK1 basandose en ANonce1 y el SNonce incluido en la solicitud de asociacion. En el paso 12, el AP puede generar un segundo ANonce (por ejemplo, ANonce2) y puede obtener una segunda PTK (por ejemplo, PTK2) basandose en ANonce2 y SNonce. En el paso 13, el AP 304 puede enviar una respuesta de asociacion a la STA 302, donde la respuesta de asociacion incluye ANonce2 y esta protegida usando PTK2. Con fines ilustrativos, la respuesta de asociacion se puede proteger usando una KCK y una clave de cifrado de clave (KEK) obtenida basandose en PTK2. La STA 302 puede generar PTK2, en el paso 14, basandose en el SNonce y ANonce2 para completar la configuracion del enlace. La PTK2 puede ser utilizada por la STA 302 y el AP 304 para proteger mensajes posteriores (por ejemplo, mensajes de datos) comunicados entre la STA 302 y el AP 304.
[0097] Por lo tanto, a diferencia del flujo de mensajes ilustrado en la FIG. 16, que implica la transmision de una solicitud de asociacion sin proteccion, el flujo de mensajes de la FIG. 23 protege la solicitud de asociacion mediante una PTK1 "temporal". Se observara que aunque la PTK1 se genera usando un ANonce que puede ser conocido para multiples STAs (por ejemplo, ANonce1 puede ser radiodifundido a multiples STAs a traves de una baliza), solo un mensaje (la solicitud de asociacion) esta protegido usando la clave "temporal" PTK1. Los mensajes posteriores, incluyendo la respuesta de asociacion y los mensajes de datos entre la STA 302 y el AP 304, estan protegidos usando una tecla diferente PTK2. El flujo de mensajes de la FIG. 23 puede de este modo ser preferible en situaciones en las que el AP no es "conocido" o "de confianza", tal como en las zonas de acceso publico.
[0098] La FIG. 24 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2400 operable en una estacion, tal como la STA 302 que comunica y procesa mensajes como se ilustra en la FIG. 23, para realizar la configuracion y autentificacion del enlace. En 2402, un dispositivo movil (por ejemplo, la STA 302) puede recibir un primer ANonce (por ejemplo, ANonce1) desde un punto de acceso (por ejemplo, el AP 304). Avanzando hasta 2404, el dispositivo movil puede generar una primera PTK (por ejemplo, pTK1 ) usando el primer ANonce. Continuando con 2406, el dispositivo movil puede enviar una solicitud de asociacion al punto de acceso. La solicitud de asociacion puede incluir un SNonce y puede protegerse usando la primera PTK.
[0099] En 2408, el dispositivo movil puede recibir una respuesta de asociacion desde el punto de acceso. La respuesta de asociacion puede incluir un segundo ANonce (por ejemplo, ANonce2) y puede protegerse usando una segunda PTK (por ejemplo, PTK2). Avanzando hasta 2410, el dispositivo movil puede generar la segunda PTK usando el segundo ANonce y el SNonce. Continuando con 2412, el dispositivo movil puede usar la segunda PTK para proteger uno o mas mensajes posteriores que se enviaran al punto de acceso.
[0100] La FIG. 25 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2500 operable en un punto de acceso, tal como el AP 304 que comunica y procesa mensajes como se ilustra en la FIG. 23, para realizar la configuracion y autentificacion del enlace. En 2502, un punto de acceso (por ejemplo, el AP 304) puede enviar un primer ANonce (por ejemplo, ANonce1) a un dispositivo movil (por ejemplo, la sTa 302). Por ejemplo, el primer ANonce puede enviarse a traves de una respuesta de sonda de unidifusion o una baliza de radiodifusion. Avanzando hasta 2504, el punto de acceso puede recibir una solicitud de asociacion desde el dispositivo movil. La solicitud de asociacion puede incluir un SNonce y puede protegerse usando una primera PTK (por ejemplo, PTK1). En 2506, el punto de acceso puede generar la primera PTK basandose en el primer ANonce y el SNonce.
[0101] Continuando con 2508, el punto de acceso puede generar un segundo ANonce (por ejemplo, ANonce2) y una segunda PTK (por ejemplo, PTK2) basandose en el segundo ANonce y el SNonce. En 2510, el punto de acceso puede enviar una respuesta de asociacion al dispositivo movil. La respuesta de asociacion puede incluir el segundo ANonce y puede protegerse usando la segunda PTK.
[0102] La FIG. 26 es un diagrama que ilustra la mensajerfa que puede realizarse de acuerdo con otros aspectos de la configuracion y autentificacion de enlace. En particular, la FIG. 26 ilustra el uso de una semilla de ANonce para generar un ANonce.
[0103] Los mensajes y operaciones seleccionados ilustrados en la FIG. 26 pueden corresponder a los mensajes y operaciones ilustrados en las FIGs. 4-11, con las siguientes modificaciones. El AP 304 puede enviar una semilla de ANonce a la STA 302 en una respuesta de la sonda o la baliza, como se muestra en el paso 2. En un modo de realizacion particular, la semilla de ANonce es un valor de semilla criptografica de 64 bits que se actualiza con frecuencia mediante el AP 304. En un modo de realizacion particular, la semilla de ANonce se radiodifunde a una pluralidad de STA (por ejemplo, en una baliza). La STA 302 puede utilizar la semilla de ANonce para generar un dispositivo ANonce especffico, como se muestra en el paso 3. En un modo de realizacion particular, el ANonce se genera realizando una funcion (por ejemplo, una funcion de recogida) en la semilla de ANonce y un valor unico y/o
5
10
15
20
25
30
35
40
45
50
55
60
65
descriptivo de la STA 302 (por ejemplo, una direccion MAC de la STA 302 o algun otro valor asociado con la STA 302). Se apreciara que a diferencia de un ANonce radiodifundido a multiples STAs, el ANonce generado en el paso 3 puede ser exclusivo de la STA 302. La STA 302 puede realizar una configuracion de enlace con el AP 304 basandose en el ANonce generado.
[0104] En el paso 8a, el AP 304 puede obtener el ANonce basandose en la semilla de ANonce y la direccion MAC de la STA 302. Por ejemplo, la direccion MAC de la STA 302 puede ser recuperada por el AP 304 a partir de la respuesta de asociacion enviada en el paso 4. El AP 304 puede realizar y completar la configuracion del enlace con la STA 302 despues de generar el ANonce.
[0105] Se observara que a diferencia de otras tecnicas de recogida, el modo de realizacion de la FIG. 26 implica que la STA 302 genere el ANonce antes del AP 304. Sin embargo, para preservar la compatibilidad hacia atras, el ANonce generado de acuerdo con las tecnicas de semilla de ANonce de la FIG. 26 pueden compartir propiedades similares a ANonces en tecnicas de intercambio. Por ejemplo, el ANonce puede ser exclusivo para la STA 302, el ANonce y/o semilla de ANonce puede enviarse "en el claro" (por ejemplo, utilizando un mensaje de baliza o respuesta de sonda como se muestra en el paso 2 o un mensaje de clave EAPOL como se muestra en el paso 4), y el ANonce puede no ser predecible mediante dispositivos no autorizados antes de la transmision mediante el AP 304.
[0106] La FIG. 27 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2700 operable en una estacion, tal como la STA 302 que comunica y procesa mensajes como se ilustra en la FIG. 26, para realizar la configuracion y autentificacion del enlace. En 2702, un dispositivo movil (por ejemplo, la STA 302) puede recibir una semilla de ANonce desde un punto de acceso (por ejemplo, el AP 304). Avanzando hasta 2704, el dispositivo movil puede generar un ANonce basandose en la semilla de ANonce y una direccion MAC del dispositivo movil. Continuando con 2706, el dispositivo movil puede realizar una configuracion de enlace con el punto de acceso basandose en el ANonce generado.
[0107] La FIG. 28 es un diagrama de flujo que muestra un proceso a modo de ejemplo 2800 operable en un punto de acceso, tal como el AP 304 que comunica y procesa mensajes como se ilustra en la FIG. 26, para realizar la configuracion y autentificacion del enlace. En 2802, un punto de acceso (por ejemplo, el AP 304) puede enviar una semilla de ANonce a un dispositivo movil (por ejemplo, la STA 302). Avanzando hasta 2804, el punto de acceso puede recibir una direccion MAC del dispositivo movil. Por ejemplo, la direccion MAC puede incluirse en un mensaje desde el dispositivo movil, tal como una solicitud de asociacion. Continuando con 2806, el punto de acceso puede generar un ANonce basado en la semilla de ANonce y la direccion MAC del dispositivo movil. En 2808, el punto de acceso puede verificar la autenticidad del dispositivo movil comparando el ANonce comunicado por el dispositivo movil con el ANonce calculado por el punto de acceso. Si el dispositivo movil pasa la verificacion, entonces el punto de acceso puede realizar una configuracion de enlace con el dispositivo movil basandose en el ANonce generado.
[0108] Hay que senalar que aunque pueden describirse diversos modos de realizacion y opciones en el presente documento como alternativas, se pueden combinar diferentes caracterfsticas de diferentes modos de realizacion y opciones para realizar la autentificacion de una configuracion de enlace.
[0109] Diversas tecnicas descritas en el presente documento pueden aplicarse a escenarios de datos de extraccion e introduccion. Por ejemplo, el intercambio de 4 vfas modificado descrito con referencia a las FIGs. 16-18 y la "siguiente" tecnica ANonce descrita con referencia a las FIGs. 19-22 pueden aplicarse a los escenarios de datos basados en extraccion e interaccion Una o mas aplicaciones ejecutadas por un dispositivo movil, como correo electronico y aplicaciones de redes sociales, pueden verificar periodicamente actualizaciones de datos. El intercambio de 4 vfas modificado o la "siguiente" tecnica de ANonce puede permitir que la extraccion de actualizaciones de dichos datos se produzca mas rapido y con un consumo de baterfa reducido en el dispositivo movil. Como otro ejemplo, la(s) aplicacion(es) en el dispositivo movil puede(n) estar configurada(s) para recibir actualizaciones de datos introducidas (por ejemplo, desde servidores). Una porcion inicial de una actualizacion de datos puede recibirse por una conexion celular. Sin embargo, el resto de la actualizacion de datos se puede recibir mas rapido (por ejemplo, por WiFi) y/o con un consumo de baterfa reducido porque la porcion inicial de la actualizacion de datos activa una configuracion de enlace inicial rapida utilizando el intercambio de 4 vfas modificado o la "siguiente" tecnica de ANonce como se describe en el presente documento. La tecnica PTK temporal descrita con referencia a las FIGs. 23-25 y la tecnica de semilla de ANonce descrita con referencia a las FIGs. 26-28 tambien se pueden usar en estos escenarios de datos basados en extraccion e introduccion.
[0110] En conjuncion con los modos de realizacion descritos, un primer aparato puede incluir medios para enviar una solicitud de asociacion sin proteccion desde un dispositivo movil a un punto de acceso. Por ejemplo, los medios de envfo pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para enviar una solicitud de asociacion sin proteccion, o cualquier combinacion de los mismos. El primer aparato puede incluir tambien medios para recibir una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un ANonce. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos
5
10
15
20
25
30
35
40
45
50
55
60
65
diferentes configurados para recibir una respuesta de asociacion, o cualquier combinacion de los mismos. El primer aparato puede incluir ademas medios para generar, en el dispositivo movil, una PTK usando el ANonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para generar una PTK, o cualquier combinacion de los mismos.
[0111] Un segundo aparato puede incluir medios para recibir una solicitud de asociacion sin proteccion en un punto de acceso desde un dispositivo movil. Por ejemplo, los medios para recibir la solicitud de asociacion sin proteccion pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para recibir una solicitud de asociacion sin proteccion (por ejemplo, un controlador inalambrico y/o antena de un AP), o cualquier combinacion de los mismos. El segundo aparato puede incluir tambien medios para extraer un mensaje de inicio de la solicitud de asociacion sin proteccion. Por ejemplo, los medios para extraer pueden incluir uno o mas componentes del AP 102, uno o mas componentes del Ap 304, uno o mas dispositivos diferentes configurados para extraer un mensaje de inicio (por ejemplo, un procesador de un AP), o cualquier combinacion de los mismos. El segundo aparato puede incluir ademas medios para enviar el mensaje de inicio a un AS. Por ejemplo, los medios para enviar el mensaje de inicio pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar un mensaje de inicio (por ejemplo, un controlador inalambrico y/o antena de un AP), o cualquier combinacion de los mismos.
[0112] El segundo aparato puede incluir medios para recibir un mensaje de respuesta desde el AS, en el que el mensaje de respuesta incluye una rMSK. Por ejemplo, los medios para recibir el mensaje de respuesta pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para recibir un mensaje de respuesta (por ejemplo, un controlador inalambrico y/o Antena de un AP), o cualquier combinacion de los mismos. El segundo aparato puede incluir tambien medios para generar un ANonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para generar un ANonce (por ejemplo, un procesador de un AP), o cualquier combinacion de los mismos. El segundo aparato puede incluir ademas medios para enviar una respuesta de asociacion desde el punto de acceso al dispositivo movil, donde la respuesta de asociacion incluye el ANonce. Por ejemplo, los medios para enviar la respuesta de asociacion pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar una respuesta de asociacion (por ejemplo, un controlador inalambrico y/o Antena de un AP), o cualquier combinacion de los mismos.
[0113] Un tercer aparato puede incluir medios para iniciar, en un dispositivo movil, una primera configuracion de enlace con un punto de acceso utilizando un primer ANonce. Por ejemplo, los medios para iniciar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para iniciar una configuracion de enlace, o cualquier combinacion de los mismos. El tercer aparato puede incluir tambien medios para recibir, durante la primera configuracion de enlace con el punto de acceso, un segundo ANonce para uso en una segunda configuracion de enlace con el punto de acceso posterior a la primera configuracion de enlace. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para recibir un ANonce, o Cualquier combinacion de los mismos.
[0114] Un cuarto aparato puede incluir medios para enviar, desde un punto de acceso a un dispositivo movil durante una primera configuracion de enlace que utiliza un primer ANonce, un segundo ANonce para uso en una segunda configuracion de enlace con el dispositivo movil posterior a la primera configuracion de enlace. Por ejemplo, los medios para enviar el segundo ANonce pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar un ANonce (por ejemplo, un controlador inalambrico y/o una antena De un AP), o cualquier combinacion de los mismos. El cuarto aparato puede incluir tambien medios para enviar el primer ANonce al dispositivo movil a traves de una baliza o una respuesta de sonda antes del inicio de la primera configuracion de enlace, donde el segundo ANonce es distinto del primer ANonce. Por ejemplo, los medios para enviar el primer ANonce pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar un ANonce (por ejemplo, un controlador inalambrico y/o una antena de un AP), o cualquier combinacion de los mismos.
[0115] Un quinto aparato puede incluir medios para recibir, en un dispositivo movil, un primer ANonce desde un punto de acceso. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para recibir un ANonce, o Cualquier combinacion de los mismos. El aparato tambien puede incluir medios para generar una primera PTK usando el primer ANonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para generar una PTK, o cualquier combinacion de los mismos. El primer ANonce puede considerarse un ANonce "debil", por ejemplo debido a que se radiodifunde a multiples STAs en una baliza o debido a que tiene un valor predecible. Sin embargo, el uso de un ANonce "debil" tal vez sea
5
10
15
20
25
30
35
40
45
50
55
60
65
aceptable debido a la seguridad implfcita incorporada en mensajes de senalizacion de capa superior. Ademas, se puede obtener un segundo ANonce "mas fuerte" y utilizarse para una transferencia de datos adicional, como se describe en el presente documento.
[0116] El aparato puede incluir ademas medios para enviar una solicitud de asociacion al punto de acceso, donde la solicitud de asociacion incluye un SNonce y se protege usando la primera PTK. Por ejemplo, los medios para enviar pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para enviar una solicitud de asociacion, o cualquier combinacion de los mismos.
[0117] El aparato puede incluir medios para recibir, en el dispositivo movil, una respuesta de asociacion desde el punto de acceso, donde la respuesta de asociacion incluye un segundo ANonce y se protege usando una segunda PTK. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para recibir una respuesta de asociacion, o cualquier combinacion de los mismos. El segundo ANonce puede considerarse un ANonce "fuerte".
[0118] El aparato puede incluir tambien medios para generar, en el dispositivo movil, la segunda PTK usando el segundo ANonce y el SNonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para generar una PTK, o cualquier combinacion de los mismos. El aparato puede incluir ademas medios para utilizar la segunda PTK para proteger al menos un mensaje posterior para ser enviado desde el dispositivo movil al punto de acceso. Por ejemplo, los medios de uso pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferntes configurados para proteger un mensaje, o cualquier combinacion de los mismos.
[0119] Un sexto aparato puede incluir medios para enviar, desde un punto de acceso, un primer ANonce a un dispositivo movil. Por ejemplo, los medios de envfo pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar un ANonce, o cualquier combinacion de los mismos. El aparato tambien puede incluir medios para recibir una solicitud de asociacion desde el dispositivo movil, donde la solicitud de asociacion incluye un SNonce y esta protegida usando una primera PTK. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para recibir una solicitud de asociacion, o cualquier combinacion de los mismos.
[0120] El aparato puede incluir ademas medios para generar, en el punto de acceso, la primera PTK basandose en el primer ANonce y el SNonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para generar una PTK, o cualquier combinacion de los mismos. El aparato puede incluir medios para generar un segundo ANonce. Por ejemplo, los medios para generar un segundo ANonce pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para generar un ANonce, o cualquier combinacion de los mismos. El aparato tambien puede incluir medios para generar una segunda PTK basandose en el segundo ANonce y el SNonce. Por ejemplo, los medios para generar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para generar una PTK, o cualquier combinacion de los mismos.
[0121] El aparato puede incluir ademas medios para enviar una respuesta de asociacion al dispositivo movil, donde la respuesta de asociacion incluye el segundo ANonce y esta protegida usando la segunda PTK. Por ejemplo, los medios para enviar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar una respuesta de asociacion, o cualquier combinacion de los mismos.
[0122] Un septimo aparato puede incluir medios para recibir, en un dispositivo movil, una semilla de ANonce a partir de un punto de acceso. La semilla de ANonce se puede radiodifundir a una pluralidad de dispositivos (por ejemplo, a traves de una baliza). Por ejemplo, los medios para recibir una semilla de ANonce pueden incluir uno o mas componentes de las STA 106-110, el controlador inalambrico 240, la antena 242, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para recibir una semilla de ANonce, o cualquier combinacion de los mismos. El aparato tambien puede incluir medios para generar, en el dispositivo movil, un ANonce basandose en la semilla de ANonce y una direccion MAC del dispositivo movil. Por ejemplo, los medios para generar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la sTa 302, uno o mas dispositivos diferentes configurados para generar un ANonce, o cualquier combinacion de los mismos.
[0123] El aparato puede incluir ademas medios para realizar una configuracion de enlace con el punto de acceso basandose en el ANonce generado. Por ejemplo, los medios para realizar pueden incluir uno o mas componentes de las STA 106-110, el procesador 210, uno o mas componentes de la STA 302, uno o mas dispositivos diferentes configurados para realizar una configuracion de enlace, o cualquier combinacion de los mismos.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0124] Un octavo aparato puede incluir medios para enviar, desde un punto de acceso, una semilla de ANonce a un dispositivo movil. Por ejemplo, los medios para enviar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para enviar una semilla de ANonce, o cualquier combinacion de los mismos.
[0125] El aparato tambien puede incluir medios para recibir una direccion MAC del dispositivo movil. Por ejemplo, los medios para recibir pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para recibir una direccion MAC, o cualquier combinacion de los mismos. El aparato puede incluir ademas medios para generar un ANonce basandose en la semilla de ANonce y la direccion MAC del dispositivo movil. Por ejemplo, los medios para generar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para generar un ANonce, o cualquier combinacion de los mismos.
[0126] El aparato puede incluir medios para realizar una configuracion de enlace con el dispositivo movil basandose en el ANonce generado. Por ejemplo, los medios para realizar pueden incluir uno o mas componentes del AP 102, uno o mas componentes del AP 304, uno o mas dispositivos diferentes configurados para realizar una configuracion de enlace, o cualquier combinacion de los mismos.
[0127] La anterior descripcion de los modos de realizacion divulgados se proporciona para permitir que cualquier experto en la tecnica realice o use los modos de realizacion divulgados. Diversas modificaciones de estos modos de realizacion resultaran facilmente evidentes a los expertos en la tecnica, y los principios definidos en el presente documento pueden aplicarse a otros modos de realizacion sin apartarse del alcance de la divulgacion. Por lo tanto, la presente divulgacion no pretende limitarse a los modos de realizacion divulgados en el presente documento, sino que se le concede el alcance mas amplio posible compatible con los principios y caracterfsticas novedosas definidos en las reivindicaciones siguientes.
[0128] Los elementos descritos en el presente documento pueden incluir multiples instancias del mismo elemento. Estos elementos pueden ser indicados genericamente por un designador numerico (por ejemplo, 110) e indicados especfficamente por el indicador numerico seguido de un designador alfabetico (por ejemplo, 110A) o un indicador numerico precedido de un "guion" (por ejemplo, 110-1). Para facilitar el seguimiento de la descripcion, la mayor parte de los indicadores de numero de elemento empiezan con el numero del dibujo en el que se introducen o describen los elementos con mayor detalle.
[0129] Deberfa entenderse que cualquier referencia a un elemento del presente documento que use una designacion tal como "primer", "segundo", y asf sucesivamente, no limita la cantidad o el orden de esos elementos, a no ser que dicha limitacion este indicada explfcitamente.. En su lugar, estas designaciones pueden usarse en el presente documento como un procedimiento conveniente para distinguir entre dos o mas elementos o ejemplos de un elemento. Por lo tanto, una referencia a un primer y segundo elementos no significa que puedan usarse solamente dos elementos o que el primer elemento deba preceder al segundo elemento de alguna forma. Ademas, a menos que se indique de otra forma, un conjunto de elementos puede comprender uno o mas elementos.
[0130] Las implementaciones especfficas mostradas y descritas son solo ejemplos y no deben interpretarse como la unica manera de implementar la presente divulgacion a menos que se especifique lo contrario en el presente documento. Es facilmente evidente para un experto en la tecnica que los diversos ejemplos en la presente divulgacion pueden ser practicados por numerosos sistemas de particion diferentes.
[0131] Los expertos en la tecnica entenderan que la informacion y las senales pueden representarse usando cualquiera entre varias tecnologfas y tecnicas diferentes. Por ejemplo, los datos, las instrucciones, los comandos, la informacion, las senales, los bits, los sfmbolos y los chips que pueden haberse mencionado a lo largo de esta descripcion pueden representarse mediante tensiones, corrientes, ondas electromagneticas, campos o partfculas magneticos, campos o partfculas opticos o cualquier combinacion de estos. Algunos dibujos pueden ilustrar senales como una sola senal para claridad de presentacion y descripcion. Un experto en la tecnica entendera que la senal puede representar un bus de senales, en el que el bus puede tener una variedad de anchos de bits y la presente divulgacion puede implementarse en cualquier numero de senales de datos, incluyendo una unica senal de datos.
[0132] En la descripcion, elementos, circuitos y funciones pueden mostrarse en forma de diagrama de bloques con el fin de no oscurecer la presente divulgacion con detalles innecesarios. A la inversa, las implementaciones especfficas mostradas y descritas son solamente ilustrativas y no deben interpretarse como la unica manera de implementar la presente divulgacion a menos que se especifique lo contrario en el presente documento. Ademas, las definiciones de bloques y el particionamiento de la logica entre varios bloques es un ejemplo de una implementacion especffica. Es facilmente evidente para un experto en la tecnica que la presente divulgacion puede ser practicada por numerosos otros sistemas de particion. En su mayor parte, se han omitido los detalles relativos a las consideraciones de temporizacion y similares, cuando tales detalles no son necesarios para obtener una comprension completa de la presente divulgacion y estan dentro de las capacidades de personas con conocimientos ordinarios en la tecnica pertinente.
5
10
15
20
25
30
35
40
45
50
55
60
65
[0133] Uno o mas de los componentes, actos, caracterfsticas y/o funciones descritos en el presente documento e ilustrados en los dibujos pueden reorganizarse y/o combinarse en un unico componente, acto, caracterfstica, o funcion o incorporados en varios componentes, actos, caracterfsticas o funciones. Tambien pueden anadirse elementos, componentes, actos y/o funciones adicionales sin apartarse de la invencion. Los algoritmos descritos en el presente documento tambien pueden implementarse eficientemente en software y/o integrarse en hardware.
[0134] Ademas, debe observarse que los modos de realizacion pueden describirse como un proceso que se representa como un organigrama, un diagrama de flujo, un diagrama estructural o un diagrama de bloques. Aunque un diagrama de flujo puede describir las operaciones como un proceso secuencial, muchas de las operaciones pueden realizarse en paralelo o simultaneamente. Ademas, el orden de las operaciones puede reorganizarse. Un proceso se termina cuando sus operaciones se completan. Un proceso puede corresponder a un procedimiento, una funcion, un procedimiento, una subrutina, un subprograma, etc. Cuando un proceso se corresponde con una funcion, su finalizacion corresponde al retorno de la funcion a la funcion de llamada o la funcion principal.
[0135] Ademas, un medio de almacenamiento puede representar uno o mas dispositivos para almacenar datos, incluyendo memora de solo lectura (ROM), memoria de acceso aleatorio (RAM), medios de almacenamiento de disco magnetico, medios de almacenamiento optico, dispositivos de memoria flash y/u otros medios legibles por maquina y medios legibles por procesador y/o medios legibles por ordenador para almacenar informacion. Las expresiones "medio legible a maquina", "medio legible por ordenador", y/o "medio legible por procesador" pueden incluir, pero sin limitacion, medios no transitorios como dispositivos de almacenamiento fijos o portatiles, dispositivos de almacenamiento opticos, y otros medios diferentes capaces de almacenar, contener o transportar instrucciones y/o datos. Por lo tanto, los diversos procedimientos descritos en el presente documento pueden implementarse parcial o completamente mediante instrucciones y/o datos que pueden almacenarse en un "medio legible por maquina", "medio legible por ordenador", y/o un "medio legible por procesador" y ejecutarse mediante uno o mas procesadores, maquinas y/o dispositivos.
[0136] Ademas, los modos de realizacion pueden implementarse mediante hardware, software, firmware, middleware, microcodigo, o cualquier combinacion de los mismos. Al implementarse en software, firmware, middleware o microcodigo, el codigo de programa o segmentos de codigo para realizar las tareas necesarias pueden almacenarse en un medio legible por maquina, tal como un medio de almacenamiento u otro almacenamiento o almacenamientos. Un procesador puede realizar las tareas necesarias. Un segmento de codigo puede representar un procedimiento, una funcion, un subprograma, un programa, una rutina, una subrutina, un modulo, un paquete de software, una clase o cualquier combinacion de instrucciones, estructuras de datos o sentencias de programa. Un segmento de codigo puede acoplarse a otro segmento de codigo o a un circuito de hardware pasando y/o recibiendo informacion, datos, argumentos, parametros o contenidos de memoria. La informacion, argumentos, parametros, datos, etc. se puede pasar, enviar o transmitir a traves de un medio adecuado que incluye compartir la memoria, el paso de mensajes, el paso de testigos, transmision por red, etc.
[0137] Los diversos bloques logicos, modulos, circuitos, elementos y/o componentes ilustrativos descritos en relacion con los ejemplos divulgados en el presente documento pueden implementarse o realizarse con un procesador de uso general, con un procesador de senales digitales (DSP), con un circuito integrado de aplicacion especffica (ASIC), con una matriz de puertas de campo programable (FPGA) o con otro componente de logica programable, logica de transistor o de puertas discretas, componentes de hardware discretos, o con cualquier combinacion de los mismos disenada para realizar las funciones descritas en el presente documento. Un procesador de uso general puede ser un microprocesador pero, de forma alternativa, el procesador puede ser cualquier procesador, controlador, microcontrolador o maquina de estados convencional. Un procesador tambien puede implementarse como una combinacion de componentes informaticos, por ejemplo una combinacion de un DSP y un microprocesador, varios microprocesadores, uno o mas microprocesadores junto con un nucleo de DSP o cualquier otra configuracion de este tipo. Un procesador de uso general, configurado para ejecutar los modos de realizacion descritos en el presente documento, se considera un procesador de uso especial para llevar a cabo dichos modos de realizacion. De forma similar, un ordenador de uso general se considera un ordenador de uso especial cuando esta configurado para llevar a cabo los modos de realizacion descritos en el presente documento.
[0138] Los procedimientos o algoritmos descritos en relacion con los ejemplos divulgados en el presente documento pueden incorporarse directamente en hardware, en un modulo de software ejecutable por un procesador, o en una combinacion de ambos, en forma de unidad de procesamiento, instrucciones de programacion, u otras direcciones, y pueden contenerse en un unico dispositivo o distribuirse a traves de multiples dispositivos. Un modulo de software puede residir en memoria RAM, memoria flash, memoria ROM, memoria EPROM, memoria EEPROM, registros, un disco duro, un disco extrafble, un CD-ROM o en cualquier otra forma de medio de almacenamiento conocida en la tecnica. Un medio de almacenamiento puede estar acoplado al procesador de manera que el procesador pueda leer informacion de, y escribir informacion en, el medio de almacenamiento. De forma alternativa, el medio de almacenamiento puede estar integrado en el procesador.
[0139] Por ejemplo, la funcionalidad STA pueden implementarse utilizando instrucciones almacenadas en un medio legible por procesador. Un medio particular puede almacenar instrucciones ejecutables para hacer que un
5
10
15
20
25
procesador genere una solicitud de asociacion sin proteccion para ser enviada por un dispositivo movil a un punto de acceso. Las instrucciones tambien pueden ser ejecutables para hacer que el procesador genere una PTK usando un ANonce recuperado de una respuesta de asociacion desde el punto de acceso. Otro medio particular puede almacenar instrucciones ejecutables por un procesador para iniciar, en un dispositivo movil, una primera configuracion de enlace con un punto de acceso utilizando un primer ANonce. Las instrucciones tambien pueden ser ejecutables para hacer que el procesador reciba, durante la primera configuracion de enlace con el punto de acceso, un segundo ANonce para uso en una segunda configuracion de enlace con el punto de acceso posterior a la primera configuracion de enlace.
[0140] Como otro ejemplo, la funcionalidad de AP puede implementarse utilizando instrucciones almacenadas en un medio legible por procesador. Por ejemplo, un medio particular puede almacenar instrucciones ejecutables para hacer que un procesador extraiga un mensaje de inicio de una solicitud de asociacion sin proteccion recibida desde un dispositivo movil. Las instrucciones tambien pueden ser ejecutables para hacer que el procesador extraiga una rMSK de un mensaje de respuesta recibido de un servidor de autentificacion que responde al mensaje de inicio. Las instrucciones pueden ser ademas ejecutables para hacer que el procesador genere un ANonce y para generar una respuesta de asociacion para ser enviada al dispositivo movil, donde la respuesta de asociacion incluye el ANonce. Otro medio particular puede almacenar instrucciones ejecutables por un procesador para enviar, desde un punto de acceso a un dispositivo movil durante una primera configuracion de enlace que usa un primer ANonce, un segundo ANonce para uso en una segunda configuracion de enlace con el dispositivo movil posterior a la primera configuracion del enlace.
[0141] Los expertos en la tecnica apreciaran ademas que los diversos bloques logicos, modulos, circuitos y pasos de algoritmo ilustrativos descritos en relacion con los modos de realizacion divulgados en el presente documento pueden implementarse como hardware electronico, software informatico o combinaciones de ambos. Para ilustrar claramente esta intercambiabilidad de hardware y software, anteriormente se han descrito diversos componentes, bloques, modulos, circuitos y pasos ilustrativos, en general, en lo que respecta a su funcionalidad. Si tal funcionalidad se implementa como hardware, software o una combinacion de los mismos, dependera de la aplicacion particular y de las selecciones de diseno impuestas sobre todo el sistema.

Claims (14)

1.
10
15
20
2.
25
3.
4.
30
5.
35
6.
40 7.
8.
45
9.
50
55
60
REIVINDICACIONES
Un procedimiento que puede hacerse funcionar en un punto de acceso (304), que comprende:
recibir (1802) una solicitud de asociacion sin proteccion desde un dispositivo movil (302), incluyendo la solicitud de asociacion una estacion creada para la ocasion, SNonce;
extraer (1804) un mensaje de inicio de la solicitud de asociacion sin proteccion;
enviar (1806) el mensaje de inicio a un servidor de autentificacion (308);
recibir un mensaje de respuesta desde el servidor de autentificacion (308), en el que el mensaje de respuesta incluye una clave de sesion principal de re-autentificacion, rMSK;
generar (1808) un punto de acceso creado para la ocasion, ANonce;
generar (1810) una clave transitoria de pares, PTK, usando la rMSK, el ANonce y el SNonce; y
enviar (1812) una respuesta de asociacion al dispositivo movil (302), en el que la respuesta de asociacion incluye el ANonce, y la respuesta de asociacion esta protegida usando la PTK.
El procedimiento segun la reivindicacion 1, en el que la solicitud de asociacion sin proteccion se envfa basandose en un identificador de conjunto de servicios basicos, BSSID, del punto de acceso (304).
El procedimiento segun la reivindicacion 1, que comprende ademas enviar un protocolo de configuracion principal dinamica, DHCP, mensaje de descubrimiento a un servidor DHCP.
El procedimiento segun la reivindicacion 3, que comprende ademas recibir un mensaje de confirmacion de DHCP del servidor DHCP en respuesta al mensaje de descubrimiento de DHCP, en el que el mensaje de descubrimiento de DHCP indica una direccion de protocolo de internet, IP.
El procedimiento segun la reivindicacion 1, en el que la respuesta de asociacion esta protegida por integridad, y en la que se cifran elementos de informacion distintos del ANonce.
El procedimiento segun la reivindicacion 1, en el que el punto de acceso (304) se basa en el servidor de autentificacion (308) que transmite un mensaje de respuesta con una rMSK obtenida como autentificacion para el dispositivo movil (302).
El procedimiento segun la reivindicacion 1, en el que la PTK se obtiene en el punto de acceso (304) antes de obtenerse en el dispositivo movil (302).
Un programa informatico que, cuando se ejecuta en un ordenador, comprende instrucciones para realizar un procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 7.
Un aparato (304), que comprende:
medios para recibir una solicitud de asociacion sin proteccion en un punto de acceso (304) desde un dispositivo movil (302), incluyendo la solicitud de asociacion una estacion creada para la ocasion, SNonce;
medios para extraer un mensaje de inicio de la solicitud de asociacion sin proteccion; medios para enviar el mensaje de inicio a un servidor de autentificacion (308);
medios para recibir un mensaje de respuesta desde el servidor de autentificacion (308), en el que el mensaje de respuesta incluye una clave de sesion principal de re-autentificacion, rMSK;
medios para generar un punto de acceso creado para la ocasion, ANonce;
medios para generar una clave transitoria de pares, PTK, usando la rMSK, el ANonce y el SNonce; y
medios para enviar una respuesta de asociacion desde el punto de acceso (304) al dispositivo movil (302), en el que la respuesta de asociacion incluye el ANonce, y la respuesta de asociacion esta protegida usando la PTK.
10. El aparato (304) de la reivindicacion 9, en el que la solicitud de asociacion sin proteccion se envfa basandose en un identificador de conjunto de servicios basicos, BSSID, del punto de acceso (304).
11. El aparato (304) de la reivindicacion 9, que comprende ademas medios para enviar un protocolo de
5 configuracion principal dinamica, DHCP, mensaje de descubrimiento a un servidor DHCP.
12. El aparato (304) de la reivindicacion 11, que comprende ademas medios para recibir un mensaje de confirmacion de DHCP del servidor DHCP en respuesta al mensaje de descubrimiento de DHCP, en el que el mensaje de descubrimiento de DHCP indica una direccion de protocolo Internet, IP.
10
13. El aparato (304) de la reivindicacion 9, en el que la respuesta de asociacion esta protegida por integridad, y en la que se cifran elementos de informacion distintos del ANonce.
14. El aparato (304) de la reivindicacion 9, en el que el punto de acceso (304) se basa en el servidor de 15 autentificacion (308) que transmite un mensaje de respuesta con una rMSK obtenida como autentificacion
para el dispositivo movil (302).
15.
20
El aparato (304) de la reivindicacion 9, en el que la PTK se obtiene en el punto de acceso (304) antes de obtenerse en el dispositivo movil (302).
ES14183535.5T 2011-09-12 2012-09-12 Sistemas y procedimientos de realización de la configuración y autentificación de enlaces Active ES2643290T3 (es)

Applications Claiming Priority (14)

Application Number Priority Date Filing Date Title
US201161533627P 2011-09-12 2011-09-12
US201161533627P 2011-09-12
US201161535234P 2011-09-15 2011-09-15
US201161535234P 2011-09-15
US201261583052P 2012-01-04 2012-01-04
US201261583052P 2012-01-04
US201261606794P 2012-03-05 2012-03-05
US201261606794P 2012-03-05
US201261611553P 2012-03-15 2012-03-15
US201261611553P 2012-03-15
US201261645987P 2012-05-11 2012-05-11
US201261645987P 2012-05-11
US13/610,730 US9439067B2 (en) 2011-09-12 2012-09-11 Systems and methods of performing link setup and authentication
US201213610730 2012-09-11

Publications (1)

Publication Number Publication Date
ES2643290T3 true ES2643290T3 (es) 2017-11-22

Family

ID=47116284

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14183535.5T Active ES2643290T3 (es) 2011-09-12 2012-09-12 Sistemas y procedimientos de realización de la configuración y autentificación de enlaces

Country Status (10)

Country Link
US (3) US9439067B2 (es)
EP (3) EP2756700B1 (es)
JP (4) JP2014531812A (es)
KR (3) KR101780252B1 (es)
CN (3) CN103797831B (es)
BR (3) BR122015024135A2 (es)
ES (1) ES2643290T3 (es)
HU (1) HUE035780T2 (es)
IN (1) IN2014CN01532A (es)
WO (1) WO2013040042A1 (es)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2696037A1 (en) 2010-03-15 2011-09-15 Research In Motion Limited Advertisement and dynamic configuration of wlan prioritization states
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9439067B2 (en) * 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US9008062B2 (en) * 2012-01-09 2015-04-14 Futurewei Technologies, Inc. Systems and methods for AP discovery with FILS beacon
US9451460B2 (en) * 2012-02-07 2016-09-20 Lg Electronics Inc. Method and apparatus for associating station (STA) with access point (AP)
US9226149B2 (en) * 2012-04-18 2015-12-29 Huawei Technologies Co., Ltd. System and method for rapid authentication in wireless communications
US9204299B2 (en) 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
US9544928B2 (en) * 2012-06-08 2017-01-10 Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. Fast initial link setup communication device and method
US9894599B2 (en) * 2012-06-13 2018-02-13 Qualcomm, Incorporated Method and apparatus for WLAN initial link setup
US10812964B2 (en) 2012-07-12 2020-10-20 Blackberry Limited Address assignment for initial authentication
US9137621B2 (en) 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol
US9301127B2 (en) 2013-02-06 2016-03-29 Blackberry Limited Persistent network negotiation for peer to peer devices
US8982860B2 (en) * 2013-03-11 2015-03-17 Intel Corporation Techniques for an access point to obtain an internet protocol address for a wireless device
US10028179B2 (en) * 2013-05-31 2018-07-17 Qualcomm Incorporated Reducing signaling during AP to AP handoff in dense networks
JP6555258B2 (ja) * 2013-10-30 2019-08-07 日本電気株式会社 移動通信システム、ProSe Function、UE及び方法
US20150237003A1 (en) * 2014-02-18 2015-08-20 Benu Networks, Inc. Computerized techniques for network address assignment
US9961545B2 (en) * 2014-06-03 2018-05-01 Qualcomm Incorporated Systems, methods, and apparatus for authentication during fast initial link setup
US9426657B2 (en) 2014-08-15 2016-08-23 Facebook, Inc. Bluetooth transmission security pattern
US9603013B2 (en) * 2014-08-15 2017-03-21 Facebook, Inc. Bluetooth beacon protocol
US10094907B2 (en) 2014-08-15 2018-10-09 Facebook, Inc. Bluetooth crowd-sourced triangualtion
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US20160127903A1 (en) * 2014-11-05 2016-05-05 Qualcomm Incorporated Methods and systems for authentication interoperability
US9667352B2 (en) * 2015-01-09 2017-05-30 Facebook, Inc. Ultrasonic communications for wireless beacons
US9730252B2 (en) * 2015-03-11 2017-08-08 Qualcomm Incorporated Quick connection between customized softap and STA
ES2768679T3 (es) * 2015-11-26 2020-06-23 Alstom Transp Tech Procedimiento para proporcionar una estación de usuario inalámbrica para acceder a una red de telecomunicaciones a través de un punto de acceso inalámbrico a la red, un punto de acceso inalámbrico a la red asociado y una estación de usuario inalámbrica
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
CN105744524B (zh) * 2016-05-06 2019-03-22 重庆邮电大学 一种wia-pa工业无线网络中移动设备入网认证方法
US10367792B2 (en) * 2016-08-25 2019-07-30 Orion Labs End-to end encryption for personal communication nodes
WO2018077607A1 (en) * 2016-10-31 2018-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
TWI631869B (zh) * 2017-03-21 2018-08-01 國立臺灣大學 無線通訊方法與無線通訊系統
JP7035163B2 (ja) * 2017-07-20 2022-03-14 ホアウェイ インターナショナル ピーティーイー. リミテッド ネットワークセキュリティ管理方法および装置
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination
WO2021094103A1 (en) * 2019-11-11 2021-05-20 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing bootstrapping
EP4107981A1 (en) 2020-02-20 2022-12-28 Lenovo (Singapore) Pte. Ltd. Re-authentication key generation
US11641374B2 (en) * 2020-05-26 2023-05-02 Dell Products L.P. Determine a trusted dynamic host configuration protocol (DHCP) server in a DHCP snooping environment
US11917407B2 (en) 2020-08-24 2024-02-27 Eleven Software Inc. Key matching for EAPOL handshake using distributed computing
KR20220124939A (ko) 2021-03-04 2022-09-14 삼성전자주식회사 공유 암호 키 갱신을 수행하는 방법 및 이를 지원하는 전자 장치
US11805571B2 (en) 2021-04-29 2023-10-31 Hewlett Packard Enterprise Development Lp Mesh network management
US12452660B2 (en) * 2021-06-25 2025-10-21 Intel Corporation 4-way handshake optimization
CN115915244B (zh) * 2022-11-23 2025-12-02 上海东土致远智能科技发展有限公司 接入客户端的监控方法、装置、存储介质以及电子设备
US20250062894A1 (en) * 2023-08-14 2025-02-20 Zebra Technologies Corporation Base Station State Detection for Client Computing Devices
CN121753373A (zh) * 2023-08-28 2026-03-27 高通股份有限公司 无线网络中的加速密钥交换

Family Cites Families (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2948294B2 (ja) 1990-09-20 1999-09-13 松下電器産業株式会社 認証機能付き鍵配送システムにおける端末
WO2001031963A1 (en) 1999-10-29 2001-05-03 Telefonaktiebolaget L M Ericsson (Publ) Mobile terminal handover from a second generation network to a third generation ip-based network
US7068669B2 (en) 2001-04-20 2006-06-27 Qualcomm, Incorporated Method and apparatus for maintaining IP connectivity with a radio network
JP2002342271A (ja) * 2001-05-16 2002-11-29 Hitachi Software Eng Co Ltd ウェブアクセスにおける重複ログイン監視方法およびシステム
US7684798B2 (en) 2001-11-09 2010-03-23 Nokia Corporation Method of pre-authorizing handovers among access routers in communication networks
US7565537B2 (en) 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US7370350B1 (en) * 2002-06-27 2008-05-06 Cisco Technology, Inc. Method and apparatus for re-authenticating computing devices
US7574599B1 (en) 2002-10-11 2009-08-11 Verizon Laboratories Inc. Robust authentication and key agreement protocol for next-generation wireless networks
JP3647433B2 (ja) * 2002-10-25 2005-05-11 松下電器産業株式会社 無線通信管理方法及び無線通信管理サーバ
US7395427B2 (en) 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
GB0315278D0 (en) 2003-06-30 2003-08-06 Nokia Corp A method for optimising handover between communication networks
US7409545B2 (en) 2003-09-18 2008-08-05 Sun Microsystems, Inc. Ephemeral decryption utilizing binding functions
US7646872B2 (en) 2004-04-02 2010-01-12 Research In Motion Limited Systems and methods to securely generate shared keys
WO2005104500A1 (en) 2004-04-23 2005-11-03 Telefonaktiebolaget Lm Ericsson (Publ) Aaa support for dhcp
JP2005354249A (ja) 2004-06-09 2005-12-22 Matsushita Electric Ind Co Ltd ネットワーク通信端末
WO2006016260A2 (en) 2004-08-11 2006-02-16 Nokia Corporation Apparatus, and associated method, for facilitating secure, make-before-break hand-off in a radio communication system
AU2005284734B2 (en) 2004-09-15 2010-03-11 Nokia Technologies Oy Apparatus, and an associated method, for facilitating fast transition in a network system
US7236477B2 (en) 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US7558866B2 (en) 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
KR100762644B1 (ko) 2004-12-14 2007-10-01 삼성전자주식회사 Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US8413213B2 (en) * 2004-12-28 2013-04-02 Intel Corporation System, method and device for secure wireless communication
US7555783B2 (en) 2005-01-21 2009-06-30 Cisco Technology, Inc. Wireless network credential provisioning
US7747865B2 (en) 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
US7907734B2 (en) * 2005-03-04 2011-03-15 Panasonic Corporation Key distribution control apparatus, radio base station apparatus, and communication system
US7624271B2 (en) 2005-03-24 2009-11-24 Intel Corporation Communications security
FR2885753A1 (fr) 2005-05-13 2006-11-17 France Telecom Procede de communication pour reseaux sans fil par trames de gestion comportant une signature electronique
KR101248906B1 (ko) * 2005-05-27 2013-03-28 삼성전자주식회사 무선 랜에서의 키 교환 방법
US7908482B2 (en) 2005-08-18 2011-03-15 Microsoft Corporation Key confirmed authenticated key exchange with derived ephemeral keys
US7835528B2 (en) 2005-09-26 2010-11-16 Nokia Corporation Method and apparatus for refreshing keys within a bootstrapping architecture
US7483409B2 (en) 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7890745B2 (en) * 2006-01-11 2011-02-15 Intel Corporation Apparatus and method for protection of management frames
JP2009522828A (ja) 2006-04-04 2009-06-11 ノキア コーポレイション ブートストラッピングアーキテクチャ内でキーをリフレッシュするための方法および装置
JP4989117B2 (ja) * 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
JP2008077217A (ja) * 2006-09-19 2008-04-03 Toshiba Corp 通信システムとその通信方法
US8204502B2 (en) 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US9053063B2 (en) 2007-02-21 2015-06-09 At&T Intellectual Property I, Lp Method and apparatus for authenticating a communication device
JP2008236094A (ja) * 2007-03-16 2008-10-02 Ricoh Co Ltd 画像形成装置
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101296081A (zh) 2007-04-29 2008-10-29 华为技术有限公司 认证、认证后分配ip地址的方法、系统、接入实体和装置
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
WO2008155508A1 (fr) 2007-06-14 2008-12-24 France Telecom Procede de distribution de cle d'authentification, terminal, serveur de mobilite et programmes d'ordinateurs correspondants
CN101442516B (zh) 2007-11-20 2012-04-25 华为技术有限公司 一种dhcp认证的方法、系统和装置
CN101588345A (zh) * 2008-05-23 2009-11-25 深圳华为通信技术有限公司 站与站之间信息发送、转发和接收方法、装置和通信系统
CN101599878A (zh) * 2008-06-06 2009-12-09 华为技术有限公司 重认证方法、系统及鉴权装置
WO2010023506A1 (en) 2008-08-26 2010-03-04 Nokia Corporation Methods, apparatuses, computer program products, and systems for providing secure pairing and association for wireless devices
CN100581171C (zh) * 2008-09-28 2010-01-13 西安西电捷通无线网络通信有限公司 一种适合超宽带网络的握手协议方法
CN102318386B (zh) 2008-12-15 2016-11-23 皇家Kpn公司 向网络的基于服务的认证
US8862124B2 (en) 2009-01-15 2014-10-14 Cisco Technology, Inc. Gateway relocation in communication networks
US8966265B2 (en) * 2009-01-30 2015-02-24 Texas Instruments Incorporated Pairwise temporal key creation for secure networks
JP5293303B2 (ja) 2009-03-17 2013-09-18 セイコーエプソン株式会社 ネットワークシステム、無線通信装置、および無線通信方法
US8812833B2 (en) * 2009-06-24 2014-08-19 Marvell World Trade Ltd. Wireless multiband security
US8881305B2 (en) 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
CN101616412A (zh) * 2009-08-07 2009-12-30 杭州华三通信技术有限公司 无线局域网中管理帧的校验方法和设备
CN101695165A (zh) * 2009-09-01 2010-04-14 深圳华为通信技术有限公司 切换方法、装置和系统
CN102014361B (zh) 2009-09-07 2014-02-19 华为技术有限公司 一种认证授权计费会话更新方法、装置和系统
US20110113252A1 (en) 2009-11-06 2011-05-12 Mark Krischer Concierge registry authentication service
CN102082665B (zh) * 2009-11-30 2013-10-23 中国移动通信集团公司 一种eap认证中的标识认证方法、系统和设备
US8839372B2 (en) 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
US8467532B2 (en) * 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
JP2014519634A (ja) 2011-04-28 2014-08-14 インターデイジタル パテント ホールディングス インコーポレイテッド 複数のsso技術のためのssoフレームワーク
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9439067B2 (en) * 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US8594632B1 (en) * 2012-12-11 2013-11-26 Intel Corporation Device to-device (D2D) discovery without authenticating through cloud
JP2016182971A (ja) * 2015-03-26 2016-10-20 東洋製罐株式会社 底部に減圧吸収性能を有するポリエステル容器及びその製造方法

Also Published As

Publication number Publication date
JP2016136724A (ja) 2016-07-28
CN103797831A (zh) 2014-05-14
EP2756700A1 (en) 2014-07-23
CN107071771B (zh) 2021-01-12
KR20160012245A (ko) 2016-02-02
WO2013040042A9 (en) 2013-06-27
US9226144B2 (en) 2015-12-29
US20140164763A1 (en) 2014-06-12
JP2014531812A (ja) 2014-11-27
JP2017055407A (ja) 2017-03-16
JP6382241B2 (ja) 2018-08-29
JP6262308B2 (ja) 2018-01-17
KR101631269B1 (ko) 2016-06-17
HUE035780T2 (en) 2018-05-28
EP2827630B1 (en) 2017-07-05
US20130263223A1 (en) 2013-10-03
KR101780290B1 (ko) 2017-09-21
EP2827630A1 (en) 2015-01-21
CN107425961A (zh) 2017-12-01
US9426648B2 (en) 2016-08-23
US9439067B2 (en) 2016-09-06
IN2014CN01532A (es) 2015-05-08
KR20160012246A (ko) 2016-02-02
WO2013040042A1 (en) 2013-03-21
KR101780252B1 (ko) 2017-09-21
US20140162606A1 (en) 2014-06-12
JP2016136723A (ja) 2016-07-28
EP2827527A1 (en) 2015-01-21
BR122015024135A2 (pt) 2019-08-27
KR20140066231A (ko) 2014-05-30
BR122015024143A2 (pt) 2019-08-27
CN107071771A (zh) 2017-08-18
CN103797831B (zh) 2018-01-19
EP2756700B1 (en) 2019-02-20
CN107425961B (zh) 2021-01-22
JP6293800B2 (ja) 2018-03-14
BR112014005631A2 (pt) 2017-03-28

Similar Documents

Publication Publication Date Title
ES2643290T3 (es) Sistemas y procedimientos de realización de la configuración y autentificación de enlaces
ES2802153T3 (es) Comunicación inalámbrica mediante reautentificación simultánea y configuración de conexión
WO2019029531A1 (zh) 触发网络鉴权的方法及相关设备
ES2703555T3 (es) Protección de intercambio de mensajes WLCP entre TWAG y UE
HK1195839A (en) Wireless communication using concurrent re-authentication and connection setup